Більшість вразливостей веб-додатків міститься у вихідному коді

Експерти Positive Technologies проаналізували стан захищеності веб-додатків і з’ясували, що в дев’яти випадках з десяти зловмисники можуть зламувати відвідувачів сайту, 16% додатків містять уразливості, що дозволяють отримати повний контроль над системою, а в 8% випадків – атакувати внутрішню мережу компанії. Крім того, отримавши повний доступ до веб-сервера, хакери можуть розміщувати на сайті, що атакується, власний контент (виконувати дефейс) або навіть атакувати його відвідувачів, наприклад, заражаючи їх комп’ютери ВПЗ.

За даними дослідження, в 2019 р. істотно знизилася частка веб-додатків, що містять уразливості високого рівня ризику. Число вразливостей, яке в середньому припадає на один додаток, знизилося в порівнянні з минулим роком майже в півтора рази. Незважаючи на це, загальний рівень захищеності веб-додатків оцінюється як низький.

82% всіх виявлених вразливостей обумовлені помилками в коді. За словами експертів, навіть в разі продуктивних систем в кожній другій вони знаходили уразливості високого рівня ризику. Високий відсоток помилок у вихідному коді свідчить про те, що код не проходить перевірку на наявність вразливостей на проміжних етапах його створення, а також що розробники як і раніше приділяють недостатньо уваги безпеці, роблячи ставку на функціональність програми.

У 45% досліджених веб-додатків експерти виявили недоліки аутентифікації (Broken Authentication); багато уразливості з цієї категорії критично небезпечні.

За даними експертів, 90% веб-додатків схильні до загрози атак на клієнтів. Як і в попередні роки, істотну роль в цьому відіграє вразливість «міжсайтове виконання сценаріїв» (Cross-Site Scripting, XSS). Прикладами атак на користувачів можуть бути зараження комп’ютерів шкідливим ПЗ (частка цього методу атак на приватних осіб в III кварталі року збільшилася до 62% проти 50% в II кв.), фішингові атаки для отримання облікових або інших важливих даних, а також виконання дій від імені користувача за допомогою обманної техніки clickjacking, зокрема для накрутки лайків і переглядів.

Джерело: ko.com.ua