Ради кражи пользовательских данных совершается 40% атак на сайты компаний

Яков Шпунт 14 Мая 2025 - 12:29

Малый и средний бизнес

...

По данным компании «Вебмониторэкс», за период с января по апрель 2025 года почти 40% атак на сайты российских организаций с использованием межсайтового скриптинга (XSS) были направлены на похищение пользовательских данных — прежде всего учётных и персональных.

Анализ проводился на основе агрегированных данных о разных типах атак, зафиксированных у клиентов компании, использующих одноимённую платформу защиты веб-приложений, микросервисов и API.

В исследование вошли 160 крупных организаций из различных отраслей: госсектор, ИТ, финансы, розница, здравоохранение, промышленность, телеком и другие. Всего было проанализировано более 270 миллионов атак.

Наиболее популярной техникой злоумышленников оказался межсайтовый скриптинг — на его долю пришлось около 40% всех атак, что на 3 процентных пункта больше, чем в IV квартале 2024 года.

XSS-атаки становятся возможными при внедрении вредоносного кода на веб-страницу без изменения её внешнего вида. Однако всё, что вводит пользователь — включая логины, пароли, персональные и платёжные данные, — может быть перехвачено атакующими.

Ещё 16% атак были связаны с удалённым выполнением кода через эксплуатацию уязвимостей. В числе прочих распространённых сценариев специалисты компании выделяют Path Traversal (получение доступа к файловой системе через ошибки фильтрации), автоматическое сканирование на наличие уязвимостей и подбор паролей (brute-force).

Эксперты также рекомендуют запретить загрузку на сайт стороннего кода, изображений, HTML-форм, а все формы ввода — тщательно экранировать. Дополнительное внимание стоит уделить архитектуре API, поскольку через них веб-приложения обмениваются значительными объёмами данных, и их компрометация может иметь критические последствия для бизнеса.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 02 Марта 2026 - 08:51

Android Домашние пользователи Защита мобильных устройств Защита мобильных устройств

В Android 17 Beta нашли функцию, упрощающую защиту сим-карты

Вышла Android 17 Beta 2, и энтузиасты уже активно копаются в коде в поисках нововведений. Одной из самых интересных находок может стать изменение в работе защиты сим-карты — функции, которую ценят за безопасность, но не любят за лишние действия.

Сейчас всё просто: если у вас включён ПИН-код для защиты симки, при каждой перезагрузке смартфона приходится вводить сначала код разблокировки устройства, а затем ещё и этот ПИН. С точки зрения защиты — отлично. С точки зрения удобства — не очень.

Судя по коду Android 17 Beta 2, Google может упростить этот процесс. Предполагается, что система будет автоматически вводить ПИН-код от сим-карты при запуске устройства, после того как пользователь введёт ПИН самого смартфона. То есть дополнительный шаг просто исчезнет.

При этом безопасность, по всей видимости, останется на том же уровне. ПИН-код будет храниться в защищённой области Android, а если извлечь симку и вставить её в другой телефон, блокировка останется активной. Иными словами, защита от несанкционированного использования никуда не денется, но пользоваться устройством станет проще.

Пока функция выглядит как заготовка на ранней стадии, но есть шанс, что она доберётся до финальной версии Android 17, релиз которой ожидается летом.

Тем, кто хочет попробовать бета-версию уже сейчас, нужно зарегистрироваться в программе Android Beta Program (при наличии актуального смартфона Pixel). В целом система работает стабильно, хотя без мелких проблем традиционно не обходится. Так что устанавливать её на основной рабочий телефон стоит с осторожностью.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!