Большинство веб-приложений опасны из-за рассеянности создателей

Согласно данным Positive Technologies, 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8% случаев - атаковать внутреннюю сеть компании. Получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный контент или атаковать его посетителей, заражая их компьютеры ВПО. По информации исследования, по итогам прошлого года существенно, на 17 процентных пунктов по сравнению с 2018 г., снизилась доля веб-приложений, которые содержат уязвимости высокого уровня риска. Число уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с 2019 г. почти в полтора раза. Несмотря на это общий уровень защищенности веб-приложений специалисты Positive Technologies оцениваю как низкий. 82% всех выявленных уязвимостей обусловлены ошибками в коде. Даже в случае продуктивных систем в каждой второй находили уязвимости высокого уровня риска. Высокий процент ошибок в исходном коде свидетельствует о том, что код не проходит проверку на наличие уязвимостей на промежуточных этапах создания, а также что разработчики по-прежнему уделяют недостаточно внимания безопасности, делая ставку на функциональность приложения. В 45% исследованных веб-приложений специалисты Positive Technologies обнаружили недостатки аутентификации. Многие уязвимости из этой категории критически опасны. "Большинство атак на аутентификацию связано с тем, что пользователи устанавливают только пароль, - рассказывает аналитик Positive Technologies Ольга Зиненко. - Отсутствие второго фактора делает атаки на аутентификацию простыми в реализации. Эта проблема усугубляется тем, что пользователи стараются придумать пароли попроще. Обход ограничений доступа обычно приводит к несанкционированному разглашению, изменению или уничтожению данных". По данным Positive Technologies, 90% веб-приложений подвержены угрозе атак на клиентов. Как и в предыдущие годы, существенную роль в этом играет уязвимость "межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). Примерами атак на пользователей могут быть заражение компьютеров вредоносным ПО (доля этого метода атак на частных лиц в III квартале 2019 г. увеличилось до 62% против 50% во II), фишинговые атаки для получения учетных или других важных данных, а также выполнение действий от имени пользователя с помощью обманной техники clickjacking, в частности для накрутки лайков и просмотров. В исследовании Positive Technologies проанализировала 38 полнофункциональных веб-приложений IT-компаний (29% общего числа исследованных приложений), финансовых организаций (26%), организаций сферы телекоммуникаций (21%), промышленного сектора (16%) и госучреждений (8%). В 2020 г. уязвимости, которые связаны с ошибками в коде, будут преобладать над остальными недостатками веб-приложений, считает Ольга Зиненко. "Тенденция сохраняется на протяжении многих лет и вряд ли в ближайшее время кардинально изменится", - сказала специалист. По результатам исследований Positive Technologies, последние три года такие угрозы как XSS, "недостатки аутентификации" и "разглашение конфиденциальных данных" занимают лидирующие позиции. Также они входят в OWASP Top 10-2017. Это независимый рейтинг актуальных проблем безопасности веб-приложений. "Доля веб-приложений, в которых есть хотя бы одна критически опасная уязвимость вероятно сохранится на уровне 50%. Однако для злоумышленника порой достаточно только одной такой уязвимости, чтобы получить доступ к приложению с максимальными привилегиями", - предостерегает Ольга Зиненко. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев согласен, что общий уровень защищенности приложений остается невысоким. Во многом это связано с большим дефицитом квалифицированных разработчиков, экономией бюджетов и недооценкой роли тестирования на всех этапах жизненного цикла приложений. "Кроме того, компании зачастую не проверяют качественно приложение, ставя в больший приоритет быстрый вывод продукта на рынок", - добавляет представитель InfoWatch. Как следствие, по оценкам Андрея Арсентьева, до 25% всех утечек конфиденциальной информации происходят именно в результате эксплуатации уязвимостей. Чтобы этого избежать, эксперт советует регулярно проводить аудит приложений, автоматизировать тесты на всех этапах создания ПО, проверять зависимости кода; развивать навыки безопасного кодирования у разработчиков. "Скорее всего, в 2020 г. опаснее станут уязвимости через цепочку поставок, а также уязвимости ПО на основе open source. В целом не меньшую угрозу, чем эксплуатация уязвимостей, для корпоративных приложений будут представлять фишинговые атаки, использование украденных учетных данных и умышленные действия внутренних мошенников", - прогнозирует специалист InfoWatch. Ссылка на источник