Более половины приложений банков и онлайн-магазинов уязвимы для хакеров

Более половины (57%) веб-приложений банков, операторов и интернет-магазинов могут быть не защищены от хакерских атак, пишут "Известия" со ссылкой на данные "Ростелеком-Солар". Такие веб-приложения содержат критические уязвимости, которые позволяют злоумышленникам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса.
По словам руководителя отдела анализа защищенности компании "Ростелеком-Солар" Александра Колесова, плохо защищенное веб-приложение открывает злоумышленникам массу возможностей. "Это может быть доступ к локальной сети компании, контроль над сервером, нарушение работы самого приложения, распространение вредоносного ПО, кража базы данных и другое. При этом большинство уязвимостей и недостатков, которые мы находим в ходе тестирований на проникновение, имеют достаточно низкую сложность эксплуатации, то есть провести удачную атаку с их помощью могут даже хакеры-любители, не говоря уже о профессиональных киберпреступниках", - сказал он.
В исследовании отмечается, что самые распространенные веб-уязвимости - это некорректная настройка прав доступа и раскрытие конфигурационных данных. Некорректная настройка прав доступа позволяет пользователю выполнять действия, на которые у него не должно быть прав, например, повысить статус своей учетной записи до уровня администратора. При раскрытии конфигурационных данных злоумышленник получает информацию о структуре веб-приложения, а в журналах, помимо технической информации, он может найти и персональные данные клиентов и сотрудников организации.
К критическим уязвимостям относятся локальные пакеты и программы, которые допускают запуск произвольного кода или повышение привилегий, отметил R&D директор Qrator Labs Михаил Левитин. Но чтобы осуществить этот запуск, необходим хотя бы непривилегированный, но все же доступ к серверам, обратил внимание эксперт.
Также эксперты напоминают, что пользователям в Интернете не стоит запускать подозрительные вложения, открывать письма и сообщения о баснословных выигрышах и невероятных акциях. Заходя на сайт, нужно перепроверить ссылки в адресной строке браузера. Для загрузки приложений на смартфон стоит использовать проверенные ссылки на официальных сайтах и не пытаться установить какое-либо ПО из мессенджера или на сайте, когда в официальном магазине приложений его нет.
Источник: Известия: https://iz.ru/1196257/anna-ustinova/servernoe-siianie-57-prilozhenii-bankov-i-onlain-magazinov-uiazvimy-dlia-khakerov