Бесплатно Экспресс-аудит сайта:

21.05.2022

Positive Technologies: в 98% случаев злоумышленники могут проводить атаки на пользователей веб-приложений

Эксперты Positive Technologies проанализировали уязвимости и угрозы веб-приложений 1 и выяснили, что в абсолютном большинстве приложений были возможны атаки на пользователей, а несанкционированный доступ и утечки важных данных были выявлены в 84% и 91% приложений. Наиболее опасными уязвимостями специалисты назвали недостатки механизмов авторизации и аутентификации пользователей. Исследование было представлено 19 мая 2022 года в рамках ежегодного форума по практической кибербезопасности Positive Hack Days.

По данным Positive Technologies, в 98% исследованных веб-приложений злоумышленники имели возможность проводить атаки на пользователей. Подобные атаки могут привести к распространению вредоносного ПО, перенаправлению на ресурсы злоумышленников или краже данных с использованием методов социальной инженерии.

В 84% исследованных приложений были выявлены угрозы несанкционированного доступа к личным кабинетам пользователей, в том числе администраторов. В 72% веб-приложений злоумышленник может получить доступ к функциональности или контенту, которые не должны быть для него доступны, например, просмотр личных кабинетов других пользователей или возможность изменять срок пробного периода подписки.

«Утечки важных данных являются второй по актуальности угрозой безопасности исследованных веб-приложений, — отмечает аналитик исследовательской группы Positive Technologies Федор Чунижеков. — Ей оказались подвержены 91% исследованных приложений. Результаты анализа защищенности показали, что в 60% приложений могут быть раскрыты персональные данные, а в 47% — учетные данные пользователей, что на 13 и 16 п.п. больше, чем в 2019 году. Персональные и учетные данные являются желанными целями злоумышленников, что подтверждают данные итоговой аналитики актуальных киберугроз 2021 года ».

В исследование вошли десятки приложений промышленных и финансовых организаций, госучреждений, IT-компаний, сайтов онлайн-торговли. Во всех тестовых приложениях промышленного сектора были выявлены уязвимости высокого уровня риска. Среди продуктивных приложений 46% обладали низким или крайне низким уровнем защищенности. В целом эксперты отмечают положительную динамику состояния защищенности веб-приложений промышленных компаний — доля приложений, имеющих крайне низкий уровень защищенности, сократилась более чем в три раза, по сравнению с 2019 годом. Состояние защищенности веб-приложений IT-отрасли показало отрицательную динамику по сравнению с 2019 годом: около половины исследованных продуктивных приложений имели низкий или крайне низкий уровень защищенности.

В исследовании отмечается повышение уровня защищенности сайтов онлайн-торговли, среди которых не было ни одного приложения с низким уровнем защищенности. По мнению экспертов Positive Technologies, это является результатом более ответственного отношения к защите своих веб-приложений со стороны разработчиков и роста популярности торговли в интернете. Наиболее характерными угрозами онлайн-приложений стали атаки на клиентов, обусловленные ошибками в настройках и некорректной реализацией протокола OAuth, и утечки конфиденциальных данных. В каждом приложении удалось получить доступ к идентификаторам пользователей, а в 44% приложений — к персональным данным.

По результатам исследования 67% продуктивных приложений госучреждений получили от специалистов низкую оценку уровня защищенности, что почти не отличается от показателей предыдущих лет. Наиболее часто встречающимися уязвимостями здесь стали уязвимости, связанные с недостатками контроля доступа, — они были выявлены во всех приложениях госучреждений. В 70% приложений подобные уязвимости могли привести к несанкционированному доступу к приложению, а также утечкам важной информации, причем чаще всего выявлялась возможность утечки персональных данных.

Доля веб-приложений, содержащих уязвимости высокой степени риска, составила 66% в 2020 году, а в 2021 году — 62%, что значительно больше показателя 2019 года. Среди уязвимостей высокого уровня риска первое и второе места занимают некорректная авторизация пользователей и обход авторизации с использованием ключа пользователя. Некорректная аутентификация замыкает тройку наиболее часто встречающихся уязвимостей высокой степени риска.

Экспертиза показала, что многие уязвимости сайтов связаны с ошибками в их коде: за прошедшие два года 72% обнаруженных уязвимостей были связаны с уязвимым кодом веб-приложений, например, внедрение SQL-команд, XSS, некорректные проверки условий и исключений. Оставшаяся часть уязвимостей была связана с неправильным администрированием — они могут быть исправлены настройками приложения. Для того чтобы не допускать уязвимостей, связанных с кодом, эксперты рекомендуют организациям внедрять процесс безопасной разработки в жизненный цикл веб-приложений, а при решении задач по построению эффективной защиты веб-приложений придерживаться комплексного подхода.

«По всем законам классической кибербезопасности защиту от взлома поможет обеспечить установка специализированных средств, которые будут блокировать попытки эксплуатации уязвимостей со стороны злоумышленника, и у нас, как у вендора, в продуктовом портфеле есть решения, которые позволяют справиться с такой задачей, — говорит Алексей Жуков, руководитель направления по развитию продуктов для DevSecOps Positive Technologies. — PT Application Firewall блокирует попытки взлома со стороны атакующего, не мешая взаимодействовать с приложением легитимному пользователю. Но на этом нельзя останавливаться. Рассуждая в парадигме реальной кибербезопасности, недостаточно просто заблокировать попытку взлома — необходимо найти и устранить саму уязвимость в коде приложения. И делать это нужно на этапе разработки. Здесь на помощь приходит PT Application Inspector , который предназначен для того, чтобы анализировать код в автоматическом режиме и находить уязвимости, подсветить разработчикам и специалистам по ИБ недостатки в коде, дать подсказку, где и какую брешь нужно залатать, чтобы навсегда закрыть злоумышленнику путь в систему».

С полной версией исследования можно ознакомиться на сайте Positive Technologies .

1 В выборку вошли результаты проводимого в 2020–2021 гг. анализа защищенности веб-приложений, владельцы которых дали свое согласие на использование данных в исследовательских целях.