`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Веб-приложения крайне уязвимы, преимущественно из-за ошибок в ходе разработки

0 
 

В ходе тестирования безопасности веб-приложений специалисты Positive Technologies, что злоумышленники могут получить персональные данные в 44% систем, в которых осуществляется их обработка. Речь идет, среди прочего, о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации составляет 70%.

Атаки на пользователей веб-приложения могут быть совершены в 96% систем. Несанкционированный доступ к приложению может быть получен примерно в каждом втором случае (48%). При этом возможность получения полного контроля над приложением была выявлена примерно в каждом шестом случае (17%).

Уязвимости той или иной степени риска содержатся в каждом веб-приложении. При этом аналитики отметили позитивную тенденцию: доля веб-приложений, содержащих критически опасные уязвимости, снижается второй год подряд. В 2017 г. в 52% приложений были выявлены уязвимости высокой степени риска. При этом наблюдается рост доли приложений, содержащих уязвимости низкой степени риска: в 2017 г. они были обнаружены в 74% исследованных систем.

Самой распространенной уязвимостью по-прежнему является «Межсайтовое выполнение сценариев» (Cross-Site Scripting), она была выявлена в 74% систем. Также среди распространенных ошибок, позволяющих проводить атаки на пользователей, присутствуют «Подделка межсайтового запроса» (Cross-Site Request Forgery) и «Открытое перенаправление» (URL Redirector Abuse).

В каждом четвертом приложении эксперты смогли эксплуатировать уязвимость «Внедрение операторов SQL»; с ее помощью злоумышленник может получить чувствительную информацию из СУБД, включая учетные данные пользователей. В 9% приложений выявлялись такие опасные уязвимости, как «Выполнение произвольного кода» (OS Commanding), «Внедрение внешних сущностей XML» (XML External Entities), «Выход за пределы назначенного каталога» (Path Traversal).

Значительная доля обнаруженных ошибок (65%) были допущены при разработке приложений и содержатся в их программном коде, а некорректные параметры конфигурации веб-серверов составили около трети от общего числа недостатков безопасности.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT