В 56% корпоративных веб-приложений обнаружены критические уязвимости
Об этом заявили эксперты отдела анализа защищенности Solar JSOC группы компаний "Солар". Успешная эксплуатация этих уязвимостей позволяет злоумышленнику нанести существенный ущерб.
При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации и не требуют от злоумышленников выполнения каких-либо дополнительных условий. А в 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа. Самой распространенной проблемой веб-приложений уже несколько лет остаются недостатки контроля доступа (проблема выявлена в 75% проектов). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении.
Еще одной серьезной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток был обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак.
Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.
"Веб-приложения интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра", - заявил руководитель отдела анализа защищенности Solar JSOC ГК "Солар" Александр Колесов.