Об этом заявили эксперты отдела анализа защищенности Solar JSOC группы компаний "Солар". Успешная эксплуатация этих уязвимостей позволяет злоумышленнику нанести существенный ущерб.
При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации и не требуют от злоумышленников выполнения каких-либо дополнительных условий. А в 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа. Самой распространенной проблемой веб-приложений уже несколько лет остаются недостатки контроля доступа (проблема выявлена в 75% проектов). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении.
Еще одной серьезной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток был обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак.
Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.
"Веб-приложения интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра", - заявил руководитель отдела анализа защищенности Solar JSOC ГК "Солар" Александр Колесов.