Только новости экономики
Все новости

На правах рекламы. Рекламодатель ООО «ГИПЕРГЛОБУС». ИНН 7743543761. Erid: 25H8d7vbP8NjNKGFWYxYmz

На правах рекламы. Возрастное ограничение 0+. Рекламодатель ООО «Свежий ветер. Тверь». 25H8d7vbP8NjNKGFQ4QNYG

На правах рекламы. Рекламодатель ООО «ГИПЕРГЛОБУС». ИНН 7743543761. Erid: 25H8d7vbP8NjNKGFWYxYmz

Технологии

Мобильные приложения российских компаний защищены лучше веб-порталов, выяснили эксперты

Новости России, 10 апреля. — Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании.
Поделиться
Подписаться
Мобильные приложения российских компаний защищены лучше веб-порталов, выяснили эксперты
Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, личные кабинеты клиентов и т.п.), исследованных экспертами отдела анализа защищенности Solar JSOC группы компаний «Солар» в 2023 году. Среди мобильных приложений этот показатель примерно в два раза меньше – 7%. Таким образом, мобильные приложения защищены лучше и менее подвержены критическим уязвимостям.

Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании. При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации – не требуют выполнения каких-либо дополнительных условий. А 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа.

Недостатки высокой и средней степени критичности есть и в мобильных приложениях. Большинство (77%) уязвимостей сконцентрировано в серверной части, остальные – в клиентской. Более того, почти все критичные для бизнеса уязвимости были выявлены именно в серверной части.

Самой распространенной проблемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении, а также позволяет пользователю действовать вне установленных привилегий, что может быть использовано злоумышленником для компрометации чувствительных данных или получения дополнительных функциональных возможностей.

Еще одной серьезной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак. Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.

В серверной части мобильных приложений также встречаются такие недостатки, как раскрытие отладочной и конфигурационной информации (настройки, внутренние адреса, компоненты приложения) и нарушение бизнес-логики приложения. Для клиентской части большинства приложений характерны небезопасное хранение данных на устройстве, отсутствие обфускации исходного кода приложения и раскрытие в нем информации о тестовых доменах и токенах.

«Приложения (как мобильные, так и веб) интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра. Проблема сейчас особенно актуальна, так как все бизнесы активно развивают дистанционные форматы взаимодействия с партнерами и клиентами, и часто, желая быстрее выпустить приложение, упускают из виду вопросы ИБ», – сказал руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов.

telegram

Новости Твери и городов Тверской области —
в Телеграм, в ОК и Вконтакте

Новости России
Губернатор Игорь Руденя на заседании Госсовета при Президенте РФ: Тверская область продолжит работу по реализации ключевого направления в демографии – поддержке семей с детьми - новости Афанасий

Губернатор Игорь Руденя на заседании Госсовета при Президенте РФ: Тверская область продолжит работу по реализации ключевого направления в демографии – поддержке семей с детьми

29.05.2024
Путин подписал закон о реестре алиментщиков  - новости Афанасий

Путин подписал закон о реестре алиментщиков

29.05.2024
Участник СВО получил удостоверение после вмешательства военной прокуратуры - новости Афанасий

Участник СВО получил удостоверение после вмешательства военной прокуратуры

29.05.2024
Специалисты рассказали автомобилистам, как вести себя в зоне паводка  - новости Афанасий

Специалисты рассказали автомобилистам, как вести себя в зоне паводка

29.05.2024
Продолжаются выплаты пострадавшим от паводка - новости Афанасий

Продолжаются выплаты пострадавшим от паводка

29.05.2024
СДЭК частично восстановил работу - новости Афанасий

СДЭК частично восстановил работу

29.05.2024
Налоги физлиц в России могут повысить к осени, но не для всех - новости Афанасий

Налоги физлиц в России могут повысить к осени, но не для всех

29.05.2024
В Госдуму внесли законопроект о запрете хиджабов  - новости Афанасий

В Госдуму внесли законопроект о запрете хиджабов

28.05.2024
Поделиться
Подписаться
Новости партнеров

Новости сегодня

Погода в Твери сегодня: зной усиливается, хотя и с редкими дождями
Погода

Погода в Твери сегодня: зной усиливается, хотя и с редкими дождями

30.05.2024
В  Удомельском городском округе на пастбище обнаружена свалка - новости Афанасий
Экономика

В Удомельском городском округе на пастбище обнаружена свалка

29.05.2024
Жителей Тверской области проконсультируют по вопросам земельного законодательства - новости Афанасий
Экономика

Жителей Тверской области проконсультируют по вопросам земельного законодательства

29.05.2024
Два жителя Москвы не поделили дорогу в Западнодвинском районе - новости Афанасий
Происшествия

Два жителя Москвы не поделили дорогу в Западнодвинском районе

29.05.2024

На правах рекламы. Возрастное ограничение 0+. Рекламодатель ООО «Свежий ветер. Тверь». 25H8d7vbP8NjNKGFQ4QNYH

Яндекс.Метрика