2024/11/14 16:27:54

Безопасность веб-приложений


Содержание

Основная статья: Безопасность в интернете

2024: Киберпреступники еженедельно получают 2-3 готовых решения для атак на сайты

Специалисты компании BI.Zone выяснили, что 25% веб-уязвимостей, обнаруживаемых ежемесячно, могут создавать высокие риски для кибербезопасности компаний. При этом каждую неделю в интернете появляется несколько примеров эксплуатации таких уязвимостей, что помогает злоумышленникам успешно проводить атаки. Об этом BI.Zone сообщила 13 ноября 2024 года.

Взлом публично доступных приложений — один из основных способов проникновения в ИТ-инфраструктуру компаний. Специалисты BI.Zone проанализировали уязвимости, найденные в российских и зарубежных веб-приложениях осенью 2024 года. По этим данным, за месяц в мире обнаруживается порядка 1000 новых веб-уязвимостей. При этом 25% из них относятся к высокому и критическому уровням опасности по шкале CVSS, а в 4% случаев примеры использования таких уязвимостей (proof of concept, PoC) появляются в открытом доступе (в среднем раз в 3 дня).

«
‎Эти показатели означают, что каждую неделю злоумышленники получают 2–3 новых варианта для начала или развития атаки на сайт. Поэтому командам, которые заботятся о безопасности веб-приложений, требуется быстро переходить на версии ПО, в которых эти ошибки уже исправлены. Однако не все компании готовы оперативно обновлять софт до последней версии: в ряде случаев это может привести к сбоям в работе приложения. В такой ситуации можно использовать решения класса web application firewall (WAF), чтобы блокировать вредоносные запросы к уязвимому веб-приложению. Это позволяет оперативно защитить приложение, пока компания тестирует обновление, — рассказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.Zone.
»

Чаще всего осенью 2024 года становилось известно об уязвимостях, которые использовались в атаках с целью кражи пользовательских данных (межсайтовый скриптинг, XSS) или получения доступа к базе данных (SQL-инъекция). Их доля составила 26% и 22% соответственно от общего числа обнаруженных опасных уязвимостей. Чекап для искусственного интеллекта: зачем и как тестировать ИИ-решения?

При этом в атаках злоумышленники предпочитают использовать уязвимости, позволяющие добиться удаленного исполнения кода (RCE). С этими попытками связано более 60% вредоносного трафика, который осенью зафиксировали в BI.Zone. Такая популярность RCE-атак объясняется их эффективностью: они дают возможность максимально быстро получить полный контроль над целевой системой, удалить или украсть конфиденциальные данные, пояснили в компании. 

Исследование показало, что чаще всего опасные уязвимости обнаруживаются в приложениях, написанных на языке программирования PHP (73%). Это связано с тем, что PHP — один из старейших и наиболее распространенных языков веб-программирования. По данным команды анализа защищенности BI.ZONE, веб-приложения на чистом языке PHP, без использования фреймворков, удается взломать в 7 случаях из 10.

Второе и третье место по числу найденных уязвимостей высокого и критического уровней заняли приложения на JavaScript (13%) и Java (12%). Лишь в 2% случаев уязвимость относилась к приложению на языке C#, что может быть связано с меньшей распространенностью этого языка по сравнению с вышеперечисленными.

2020

BI.Zone и Ngenix объявили о начале технологического сотрудничества

1 июня 2020 года Ngenix, провайдер блачных услуг для веб-ресурсов, сообщила, что совместно с BI.Zone (Безопасная Информационная Зона, Бизон), российским разработчик решений в сфере кибербезопасности, заключили соглашение о сотрудничестве в области исследования и обеспечения кибербезопасности публичных веб-приложений. Подробнее здесь.

«Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

18 мая 2020 года компания «Ростелеком-Солар» сообщила, что провела анализ защищенности веб- приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.

По информации компании, в основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.

«
Как показывает наша практика, логические уязвимости, например, класса IDOR, на май 2020 года встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода. Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация.

пояснил Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар»
»

На май 2020 года более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.

«
Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в обновленных приложениях на май 2020 года можно встретить данную уязвимость. Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения.

рассказал Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар»
»

Читайте также

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT