Веб-приложения банков наиболее уязвимы

Веб-приложения банков наиболее уязвимы

Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании.

Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является «Межсайтовое выполнение сценариев», с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

При этом важно отметить, что большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска «Внедрение SQL-кода», с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

«Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — говорит аналитик Positive Technologies Анастасия Гришина. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода».

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Экс-разработчик ВКонтакте создал свой безопасный мессенджер

Разработчик, ранее трудившийся в штате «ВКонтакте», представил свой собственный мессенджер, который поможет пользователям общаться анонимно. Мобильное приложение, получившее имя FaceCat, в настоящий момент уже можно опробовать (оно доступно для загрузки в AppStore и Google Play).

Пока непонятно, чем именно так выгодно отличается новое приложение от уже имеющихся. На официальной странице приложения сказано следующее:

«FaceCat представляет собой анонимный мессенджер, где вы сможете общаться с друзьями, не подозревая, кто есть кто. Личности в этом мессенджере скрыты, а сообщения зашифрованы».

Остается задать вопрос — как можно общаться с «друзьями», при этом не зная, кто из них кто. А если это и вовсе не друзья?

Разработчик приложения Олег Илларионов утверждает, что номер телефона, необходимый для регистрации учетной записи, удаляется сразу же после аутентификации и далее в процессе общения не фигурирует.

Если так, то это действительно несколько иной подход к анонимности, чем, скажем, у того же Telegram. Ко всему прочему, FaceCat можно настроить таким образом, что ваши собеседники не узнают об общих контактах или друзьях.

В настоящее время приложение можно загрузить для устройств Apple здесь, для Androidздесь.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru