Контакты
Подписка
МЕНЮ
Контакты
Подписка

Positive Technologies подготовили статистику по уязвимостям банковских веб-приложений: они везде

Positive Technologies подготовили статистику по уязвимостям банковских веб-приложений: они везде

Positive Technologies подготовили статистику по уязвимостям банковских веб-приложений: они везде


19.03.2018



Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

 Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

 Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании .

 Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

 Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является "Межсайтовое выполнение сценариев", с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

 На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

 При этом важно отметить, что большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска "Внедрение SQL-кода", с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

 Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

 "Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — говорит аналитик Positive Technologies Анастасия Гришина. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода".

 

Securitylab