Из 100 веб-приложений российских банков 50 содержат уязвимости
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Из 100 веб-приложений российских банков 50 содержат уязвимости

Яков Шпунт 26 Февраля 2025 - 15:45
...
Из 100 веб-приложений российских банков 50 содержат уязвимости

ГК «Солар» оценила безопасность веб-приложений 100 российских банков и выявила, что более половины из них содержат уязвимости высокой или средней критичности. В каждом втором приложении обнаружена хотя бы одна серьезная проблема.

Анализ проводился с использованием динамических и статических инструментов тестирования, а также сторонних решений. В 20% случаев уровень защищенности оказался низким, в 39% – средним.

Одной из наиболее распространенных уязвимостей оказался недостаточный контроль доступа, выявленный в 78% приложений. Это может привести к тому, что как внутренние, так и внешние злоумышленники получат доступ к широкому спектру данных и смогут использовать их в своих целях.

Межсайтовый скриптинг (XSS) также остается значимой проблемой: в 75% случаев уязвимость позволяет внедрять вредоносный код через пользовательский ввод. Еще одна серьезная угроза связана с недостаточным шифрованием данных – 56% приложений хранят персональные сведения, пароли и номера платежных карт с использованием устаревших протоколов и слабых криптоалгоритмов, что упрощает их компрометацию.

Кроме того, 36% выявленных уязвимостей связаны с недостатками логирования и мониторинга, что затрудняет обнаружение и расследование инцидентов. В таких условиях банки могут не отслеживать несанкционированный доступ к своим ИТ-системам.

Проблема утечек данных в банковском секторе остается актуальной. По данным ГК «Солар», в 2024 году объем утекшей информации из финансовых организаций составил 410 миллионов строк, что вдвое превышает показатели 2023 года. Среди компрометированных данных – ФИО клиентов, контактные данные, кредитная история и другая чувствительная информация. Финансовый сектор оказался наиболее уязвимым по сравнению с другими отраслями, включая государственные структуры.

Как отметил руководитель направления развития бизнеса ПО Solar appScreener Владимир Высоцкий, в последние годы банки уделяют все больше внимания защите информации, что связано как с требованиями регуляторов, так и с развитием законодательства в области безопасной разработки. Внедрение решений для анализа кода на ранних этапах помогает снижать риски наиболее распространенных уязвимостей и повышать уровень защиты банковских веб-приложений.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Пользователи МАХ теперь могут сами подписывать документы онлайн
Екатерина Быстрова 07 Октября 2025 - 16:37
Домашние пользователи Системы аутентификацииСредства электронной подписи (ЭП)
Пользователи МАХ теперь могут сами подписывать документы онлайн

Теперь в мессенджере МАХ можно самостоятельно подписывать документы — например, договор купли-продажи или заявление в суд. Делается это через чат-бот «Госключ». Чтобы воспользоваться функцией, нужно обновить приложение до последней версии, иметь подтверждённую учётную запись на «Госуслугах» и сертификат электронной подписи.

Как это работает:

  • В поиске мессенджера нужно найти чат-бот «Госключ»;
  • При первом использовании — подтвердить профиль через «Госуслуги»;
  • Загрузить документы, которые нужно подписать;
  • Выбрать тип электронной подписи и подтвердить подписание.

Если «Госключ» ещё не установлен, МАХ предложит перейти в магазин приложений и скачать его. При первом запуске сервис поможет получить сертификаты электронной подписи.

После подписания документы в формате мобильной ЭП появятся прямо в чате бота.

Интеграция МАХ с «Госключом» была завершена 25 августа. Раньше пользователи могли подписывать документы только по инициативе компании — когда организация отправляла договор через мессенджер и подключала «Госключ» по ссылке. Теперь же можно самостоятельно загрузить и подписать любой документ, а потом отправить его собеседнику.

В прошлом месяце мы также писали, что MAX успешно подключили к Госуслугам через OpenID Connect. В случае с мессенджером MAX, авторизация через OpenID Connect реализована аппаратно — за поставку оборудования отвечает «Инфотекс Интернет Траст».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
ГК Солар запустила Solar DNS Radar для защиты от атак через DNS
Новость
ГК Солар запустила Solar DNS Radar для защиты от атак через...
ChatGPT удалось убедить решать капчи с помощью подмены контекста
Новость
ChatGPT удалось убедить решать капчи с помощью подмены конте...
Госуслуги запустили тест одноразовых кодов входа через мессенджер MAX
Новость
Госуслуги запустили тест одноразовых кодов входа через мессе...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.