Более половины (57%) веб-приложений банков, операторов и интернет-магазинов могут быть не защищены от хакерских атак, пишут «Известия» со ссылкой на данные «Ростелеком-Солар». Такие веб-приложения содержат критические уязвимости, которые позволяют злоумышленникам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса.
По словам руководителя отдела анализа защищенности компании «Ростелеком-Солар» Александра Колесова, плохо защищенное веб-приложение открывает злоумышленникам массу возможностей. «Это может быть доступ к локальной сети компании, контроль над сервером, нарушение работы самого приложения, распространение вредоносного ПО, кража базы данных и другое. При этом большинство уязвимостей и недостатков, которые мы находим в ходе тестирований на проникновение, имеют достаточно низкую сложность эксплуатации, то есть провести удачную атаку с их помощью могут даже хакеры-любители, не говоря уже о профессиональных киберпреступниках», — сказал он.
В исследовании отмечается, что самые распространенные веб-уязвимости — это некорректная настройка прав доступа и раскрытие конфигурационных данных. Некорректная настройка прав доступа позволяет пользователю выполнять действия, на которые у него не должно быть прав, например, повысить статус своей учетной записи до уровня администратора. При раскрытии конфигурационных данных злоумышленник получает информацию о структуре веб-приложения, а в журналах, помимо технической информации, он может найти и персональные данные клиентов и сотрудников организации.
К критическим уязвимостям относятся локальные пакеты и программы, которые допускают запуск произвольного кода или повышение привилегий, отметил R&D директор Qrator Labs Михаил Левитин. Но чтобы осуществить этот запуск, необходим хотя бы непривилегированный, но все же доступ к серверам, обратил внимание эксперт.
Также эксперты напоминают, что пользователям в Интернете не стоит запускать подозрительные вложения, открывать письма и сообщения о баснословных выигрышах и невероятных акциях. Заходя на сайт, нужно перепроверить ссылки в адресной строке браузера. Для загрузки приложений на смартфон стоит использовать проверенные ссылки на официальных сайтах и не пытаться установить какое-либо ПО из мессенджера или на сайте, когда в официальном магазине приложений его нет.
Организации часто подвергаются повторной сложной атаке, вероятно, со стороны тех же злоумышленников, отметили эксперты.
21.07.2021 15:15
