Технологии
Мобильные приложения российских компаний защищены лучше веб-порталов, выяснили эксперты
10.04.2024 13:39:00
Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании.
Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, личные кабинеты клиентов и т.п.), исследованных экспертами отдела анализа защищенности Solar JSOC группы компаний «Солар» в 2023 году. Среди мобильных приложений этот показатель примерно в два раза меньше – 7%. Таким образом, мобильные приложения защищены лучше и менее подвержены критическим уязвимостям.
Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании. При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации – не требуют выполнения каких-либо дополнительных условий. А 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа.
Недостатки высокой и средней степени критичности есть и в мобильных приложениях. Большинство (77%) уязвимостей сконцентрировано в серверной части, остальные – в клиентской. Более того, почти все критичные для бизнеса уязвимости были выявлены именно в серверной части.
Самой распространенной проблемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении, а также позволяет пользователю действовать вне установленных привилегий, что может быть использовано злоумышленником для компрометации чувствительных данных или получения дополнительных функциональных возможностей.
Еще одной серьезной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак. Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.
В серверной части мобильных приложений также встречаются такие недостатки, как раскрытие отладочной и конфигурационной информации (настройки, внутренние адреса, компоненты приложения) и нарушение бизнес-логики приложения. Для клиентской части большинства приложений характерны небезопасное хранение данных на устройстве, отсутствие обфускации исходного кода приложения и раскрытие в нем информации о тестовых доменах и токенах.
«Приложения (как мобильные, так и веб) интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра. Проблема сейчас особенно актуальна, так как все бизнесы активно развивают дистанционные форматы взаимодействия с партнерами и клиентами, и часто, желая быстрее выпустить приложение, упускают из виду вопросы ИБ», – сказал руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов.
Читайте также
Искусственный интеллект придет на помощь пользователям сотовых телефонов. Он вычислит мошенников еще на стадии разговора.
16.05.2024
erid: 25H8d7vbP8NjNKGFWaVE4f
14.05.2024
erid: 25H8d7vbP8NjNKGFWaVDzA
14.05.2024
Они будут проводить аэрофотосъемочные работы.
13.05.2024
Сообщения о снятии социальной сетью ограничений для пользователей и новость о частичной работе сервиса не оказали значимого влияния на поведение клиентов.
13.05.2024
На спортивных объектах в Ржеве улучшилась связь.
06.05.2024
Erid: 25H8d7vbP8NjNKGFWaTD6g
25.04.2024
Рекомендуемое
Общество
В центре Твери 17-19 мая изменятся маршруты автобусовПеревозчик сообщает детали вводимых временных изменений.
17.05.2024
Культура
В Твери в здании бывшего кинотеатра “Вулкан” будет создан музейЕго создание начнется в этом году.
16.05.2024
Культура
В Твери открылась уникальная выставка западноевропейских мастеров живописи XV векаВсе представленные картины — из частной коллекции Михаила Перченко.
16.05.2024
Культура
15-летний мультипликатор из Тверской области создал фильм про «Дурака и молнию» на песню КиШа и завоевал с ним спецпризРабота получила признание на российском уровне.
16.05.2024
Погода
В Тверской области 2 и 3 мая прогнозируются ночные заморозкиСиноптики предупреждают о резком похолодании на территории верхней Волги и у соседей.
30.04.2024
Афиша
В Твери 1 мая во всех районах города пройдут праздничные событияПолную программу к Первомаю опубликовал муниципалитет на официальном городском сайте.
30.04.2024
Происшествия
Двух женщин и собаку спасли пожарные в Удомле Тверской областиСобаку пришлось спасать от отравления угарным газом.
28.04.2024
Общество
На полигоне в Кушалино под Тверью начинаются полеты авиации с боевой стрельбойМестных жителей и гостей региона просят обходить леса в округе стороной.
27.04.2024