Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, личные кабинеты клиентов и т.п.), исследованных экспертами отдела анализа защищенности Solar JSOC группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) в 2023 году. Среди мобильных приложений этот показатель примерно в два раза меньше – 7%. Таким образом, мобильные приложения защищены лучше и менее подвержены критическим уязвимостям.
Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании. При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации – не требуют выполнения каких-либо дополнительных условий. А 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа.
Недостатки высокой и средней степени критичности есть и в мобильных приложениях. Большинство (77%) уязвимостей сконцентрировано в серверной части, остальные – в клиентской.Более того, почти все критичные для бизнеса уязвимости были выявлены именно в серверной части.
Самой распространенной проблемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении, а также позволяет пользователю действовать вне установленных привилегий, что может быть использовано злоумышленником для компрометации чувствительных данных или получения дополнительных функциональных возможностей.
Еще одной серьезной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак.Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.
В серверной части мобильных приложений также встречаются такие недостатки, как раскрытие отладочной и конфигурационной информации (настройки, внутренние адреса, компоненты приложения) и нарушение бизнес-логики приложения. Для клиентской части большинства приложений характерны небезопасное хранение данных на устройстве, отсутствие обфускации исходного кода приложения и раскрытие в нем информации о тестовых доменах и токенах.
«Приложения (как мобильные, так и веб) интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра. Проблема сейчас особенно актуальна, так как все бизнесы активно развивают дистанционные форматы взаимодействия с партнерами и клиентами, и часто, желая быстрее выпустить приложение, упускают из виду вопросы ИБ», – сказал руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов.
RPG Battle of Souls доступна в Google Play 2 стран
Ubisoft cancels The Division: Heartland so it can focus on 'bigger opportunities' like XDefiant
Шапки женские на Wildberries — скидки от 398 руб. (на новые оттенки)
Always keep backups: an 'unprecedented' Google Cloud debacle saw a $135 billion pension fund's entire account deleted and services knocked out for nearly two weeks
Яна Рудковская, Филипп Киркоров, Ксения Собчак, Мари Краймбрери и другие гости торжественного ужина в честь сотрудничества Димы Билана с парфюмерным брендом
Этюд поэтический
«А мы с тобой, брат, из пехоты…»
к 100-летию со дня рождения Б.Ш. Окуджавы
Наследие Шаляпина и Рахманинова представили на выставке-форуме «Россия»
Создание Сайтов. Создание веб сайта. Создание сайта html. Создание сайтов цена. Создание и продвижение сайтов. Создание сайта с нуля. Создание интернет сайта.
Лукашенко лоббирует интересы Алиева по изоляции Армении
Бухалово и Париж: откуда появились необычные и смешные названия населенных пунктов в России
Азербайджанцев оправдали за убийство спортсмена Евгения Кушнира в Самарской области. Делом заинтересовался глава Следкома РФ А. Бастрыкин
Выездной Фотограф для всех желающих, ну и конечно Артистов и Музыкантов.
В мире могут закрыть поставки из Китая. «Святой Ленин» на встрече В.В. Путина и Си Цзиньпина повышает качество жизни народам России, Китая, всего мира.
Собянин: В Москве открылись новые выездные площадки для регистрации брака
Воробьев открыл хоккейный турнир «Кубок Юнисон» в Красногорске
Коллекция CD этномузыки экзотических стран представлена на открытии выставки в Симферополе
Театр и Культура, Россия и Дети: 15 мая театр кукол Ульгэр представил спектакль «Мүнгэн мүшэдүүд» в стенах Художественного музея для первых классов гимназии №29 Улан-Удэ
Рейсы поезда из Нижнего Новгорода в Симферополь продлят на июль-сентябрь
В Бурятии прошла Байкальская театральная школа прошла - Россия, Культура и Дети