Большая часть интерактивных ресурсов (57%) содержит критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, внедрять и исполнять свой код, полностью контролировать работу атакуемого ресурса, свидетельствуют распространённые в четверг результаты анализа защищённости российских компаний, проведённого экспертами «Ростелеком-Солар».
Объектами исследования, которое велось в течение года, стали организации из сферы финансов, энергетического комплекса, информационных технологий, телекома и других отраслей.
Самые распространённые веб-уязвимости – это некорректная настройка прав доступа и раскрытие конфигурационных данных, что позволяет злоумышленнику получить информацию о структуре веб-приложения (внутренние IP-адреса, API-ключи, отладочные сценарии, журналы приложений), а иногда и даёт доступ к персональным данным клиентов и сотрудников организации.
Некоторые обнаруженные уязвимости позволяют проникнуть в сеть компании даже без полного «захвата» приложения – например, подделав запрос на стороне сервера. С помощью данной уязвимости злоумышленник может отправлять от имени сервера запросы как к внешним, так и к внутренним ресурсам и извлекать закрытую информацию из системы.
Также в некоторых системах экспертами найдены ошибки, позволяющие совершить атаку на пользователя веб-ресурса: в приложение внедряется JavaScript-код, который затем исполняется в браузере жертвы. Цели у хакеров могут быть разные: выполнение действий от имени пользователя, кража его личных данных, майнинг криптовалют и многое другое.
См. также: Количество кибератак в пандемию возросло в 40 раз — FSB >>>
