Контакты
Подписка 2026

О Web, ты уязвимый мир!

Евгения Красавина, 07/06/19

 

 

Krasavina

 

Руководитель отдела продвижения и развития продуктов Positive Technologies Евгения Красавина рассказала об изнанке Web-приложений, а именно: насколько хорошо в нем освоились злоумышленники, какие Web-уязвимости чаще встречаются, и поделилась опытом борьбы с ними.

Средняя температура по больнице растет

Подводя итоги 2018 г., мы отметили, что количество уникальных киберинцидентов на 27% превысило показатели 2017 г. Пики активности наблюдались в феврале, мае, июле и в конце года, что связываем со всплесками атак злоумышленников в преддверии и во время крупных спортивных соревнований (зимних Олимпийских игр и чемпионата мира по футболу), а также с предновогодним периодом, когда финансовая активность и организаций, и частных лиц повышается.

Почти четверть атак (23%) были направлены на частных лиц. В 19% инцидентов жертвами хакеров стали государственные учреждения, в 11% случаев пострадали медицинские, а в 10% -- финансовые организации. Чаще всего злоумышленники атаковали инфраструктуру (49%) и Web-ресурсы (26%) компаний.

Krasavina_ris1

Данные -- новое золото

В эру информационного перенасыщения продолжает расти доля атак, направленных на кражу информации (42%). При этом такие атаки зачастую содержат финансовый подтекст: украденные данные затем используются для кражи денег, шантажа или размещаются для продажи на теневом рынке.

Krasavina_ris2

В 2018 г. злоумышленники похищали преимущественно персональные данные (30%), учетные данные (24%) и данные платежных карт (14%). Многие инциденты, связанные с кражей персональных данных, объясняются цифровой неграмотностью их владельцев. Зачастую люди добровольно предоставляют личные данные за небольшое вознаграждение в онлайн-сервисах или размещают их в открытом доступе в соцсетях, не понимая, насколько ценной может быть эта информация для злоумышленников.

По нашим сведениям, наиболее распространены в Даркнете объявления о продаже учетных данных пользователей к различным сервисам (59%). Среди учетных записей наибольшую ценность для злоумышленников представляют логины и пароли пользователей платежных систем, онлайн-банков и криптовалютных бирж. Пароли от популярных онлайн-магазинов, таких как Ebay или Amazon, также пользуются спросом, ведь в личных кабинетах пользователей обычно уже привязаны банковские карты, что позволяет преступникам совершать покупки за чужой счет, или они используют эти торговые площадки для того, чтобы обналичить деньги с украденных банковских карт путем покупки товаров от чужого имени и их дальнейшей перепродажи.

Уязвимый Web

Проводя анализ Web-приложений в 2018 г., наши специалисты находили около 70 различных видов уязвимостей. По-прежнему высока доля Web-приложений с уязвимостями "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). В четырех из пяти Web-приложений отмечены ошибки конфигурации: параметры по умолчанию, стандартные пароли, сообщения об ошибках, в которых раскрываются версии используемого ПО, установочные пути и другие данные, представляющие ценность для злоумышленника на этапе сбора информации о системе и при планировании атаки.

Наши эксперты также отметили снижение доли Web-приложений, подверженных уязвимости "Внедрение внешних сущностей XML" (XML External Entities, XXE). Однако не можем утверждать, что это тренд, скорее это особенность выборки Web-приложений. Напротив, если говорить о Web-уязвимостях в целом, то XXE по-прежнему актуальна. В 2017 г. она впервые вошла в рейтинг OWASP Top 10 и сразу заняла четвертую позицию.

Krasavina_ris3

Тренд утечки важной информации наблюдается в 2018 г. во всем мире. Причиной многих громких инцидентов становятся недостатки администрирования и разграничения доступа к различным ресурсам, при этом наше исследование демонстрирует проблемы безопасного хранения важных данных в Web-приложениях. Так, в 46% утечек в Web-приложениях под угрозу попадают учетные данные. Персональные данные обрабатываются в 91% исследованных нами Web-приложений, при этом в 18% этих систем возможна их утечка (19% всех утечек).

Krasavina_ris4

Уязвимости, связанные с недостатками механизмов аутентификации и управления сессиями, могут стать причиной несанкционированного доступа к функциональным возможностям Web-приложения или его контенту.

Krasavina_ris5

При автоматизированном анализе Web-приложений наши специалисты часто сталкиваются с жестко заданными в коде паролями, например, для доступа к СУБД или к API сторонних систем. Злоумышленник, получивший доступ к исходному коду или документации, может воспользоваться этими учетными данными для несанкционированного доступа к соответствующим системам и кражи информации. Кроме того, в ряде случаев обнаруженные нами жестко заданные пароли не отвечают минимальным требованиям к стойкости, а значит,  могут быть успешно подобраны в результате брутфорс-атак. В свою очередь, смена скомпрометированного пароля потребует внесения изменений в код.

Сообщество OWASP выделяет ряд уязвимостей, не вошедших ни в одну из категорий Top 10--2017, наличие которых рекомендуется проверять. Например, возможность загрузки произвольных файлов -- критически опасная уязвимость, которая позволяет злоумышленнику загружать на сервер исполняемые файлы и выполнять код, что может привести к получению им полного контроля над Web-приложением и сервером.

Krasavina_ris6

Анализ угроз

В 2017 г. каждое второе Web-приложение (48%) было под угрозой несанкционированного доступа, однако в 2018 г. доля таких приложений выросла до 72%. В 19% Web-приложений были найдены критически опасные уязвимости, позволяющие получить контроль не только над приложением, но и над ОС сервера, и зачастую его компрометация позволяет развивать атаку на корпоративные ресурсы.

Krasavina_ris7

Однако атаки на инфраструктуру возможны и без полного контроля над сервером Web-приложения. Например, уязвимость "Подделка запроса со стороны сервера" (Server-Side Request Forgery, SSRF) позволяет сканировать ЛВС и обращаться к внутренним ресурсам.

Krasavina_ris8

По-прежнему почти каждое Web-приложение содержит уязвимости, которые позволяют совершать атаки на пользователей. В большинстве случаев, как и прежде, это "Межсайтовое выполнение сценариев" (Cross-Site Scripting, XSS). Однако в этом году доля данной уязвимости стала еще внушительней (88,5% против 77,9% в прошлом году).

Krasavina_ris9

Неужели все настолько плохо?

Большинство Web-приложений имеют низкий уровень защищенности. При этом доля Web-приложений с крайне низким уровнем защищенности выросла по сравнению с прошлым годом почти в два раза, а среднее число уязвимостей в одной системе для отдельных категорий уязвимостей увеличилось многократно.

Для эффективного обеспечения безопасности Web-приложений мы рекомендуем проводить анализ их защищенности. Наличие исходного кода (тестирование методом белого ящика) делает анализ более эффективным, позволяя выявить и в дальнейшем устранить уязвимости, не дожидаясь кибератак. При этом необходимо подчеркнуть: важна регулярность такого анализа, ведь только систематический подход позволяет минимизировать число уязвимостей в системе и оптимизировать ресурсы для их устранения.

Результаты нашего исследования говорят о том, что уязвимости высокого уровня риска содержатся и в тестовых, и в продуктивных системах. Анализ защищенности Web-приложения начиная с самых ранних этапов его разработки не только снижает затраты на устранение выявленных уязвимостей, но и повышает его эффективность.

Для исправления 83% уязвимостей, включая большинство критически опасных, разработчику Web-приложения придется внести изменения в программный код. Не секрет, что даже частичная переработка Web-приложения может потребовать от компании значительных ресурсов. Чтобы снизить риск нарушения бизнес-процессов в течение времени, которое потребуется на выпуск нового релиза Web-приложения, мы рекомендуем использовать специализированные решения, в частности межсетевые экраны уровня приложений (Web Application Firewalls, WAF). Только комплексный подход к защите Web-приложений сводит риск успешных кибератак к минимуму, позволяя тем самым сохранить деньги, репутацию и доверие клиентов.

Гиганты под угрозой

Самый крупный взлом в истории Facebook случился в конце сентября 2018 г. 28 сентября гигант сферы социальных медиа заявил в своем блоге, что его специалисты обнаружили инцидент информационной безопасности, напрямую затрагивающий примерно 50 млн человек и вызывающий проблемы у 90 млн человек по всему миру.

Взлом заставил команду Марка Цукерберга сбросить токены авторизации еще у 40 млн человек, доведя общее количество пострадавших пользователей Facebook до 90 млн. В результате взлома порядка 90 млн пользователей пришлось снова авторизоваться в Facebook, а также в любых других приложениях, где для авторизации использовался аккаунт соцсети.

Причиной нарушения данных стала уязвимость в коде программы.  Киберпреступники сумели получить доступ к такой конфиденциальной информации, как дни рождения пострадавших пользователей и их друзей, история активности в Facebook, полное имя, адреса и вообще все, чем они делились на страницах этой соцсети.

Об инциденте было сообщено властям. Facebook извинился и подтвердил, что нарушение было массовым и специалисты до сих пор расследуют причину взлома. В настоящий момент неизвестно, кто стоял за данной атакой.

 

Темы:ТехнологииPositive TechnologiesПерсоныБезопасная разработка
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • SafeERP – новая архитектура защиты бизнес-приложений
    Римма Кулешова, менеджер продукта SafeERP компании “Газинформсервис”
    Признание ERP-систем частью КИИ меняет подход к безопасности бизнес-приложений. На первый план выходят вопросы непрерывного контроля, управления рисками и прозрачности процессов внутри 1С и SAP. Римма Кулешова рассказывает о новой модели защиты ERP и о том, почему безопасность бизнес-логики становится отдельным направлением ИБ.
  • ИИ в аудите смарт-контрактов и проблема масштаба
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Смарт-контракты пишутся быстрее, чем их успевают нормально проверять. Ошибки при этом каждый раз разные – от простых просчетов в логике до сложных сценариев с оракулами и внешними протоколами. Разбор каждого инцидента занимает время, а их становится все больше и больше. В какой-то момент проблема сводится уже не к сложности, а к объему: ручной аудит не успевает покрывать все, что появляется.
  • Защита почты: от зоопарка к экосистеме
    Шлюз безопасности, песочница, харденинг – стандартный набор для защиты корпоративной почты выглядит внушительно. Но несмотря на все эти средства, электронная почта последние несколько лет остается главным каналом доставки вредоносного ПО. Разберемся, где скрываются слабые места и как вывести безопасность на новый уровень через экосистемный подход.
  • Когда платформа становится безопаснее, чем безопасник
    Александр Трифанов, руководитель направления Application Security, "Авито"
    В крупных компаниях стало слишком много инженерии. Команды растут, микросервисы множатся, инфраструктура усложняется, а вместе с ней – и стоимость ее поддержки. Поэтому идея внутренних платформ выглядит естественным ответом на хаос. То, что раньше требовало согласований и ручных настроек, теперь превращается в сервис – Platform as a Service, Publication as a Service, Admin as a Service.
  • Эволюция безопасности: ретейл, стандарты и автоматизация
    Дмитрий Гладченко, Заместитель директора по информационной безопасности дирекции по обеспечению бизнеса компании «Лента»
    Информационная безопасность из набора технических ограничений постепенно превращается в ключевой элемент устойчивости бизнеса. Дмитрий Гладченко, заместитель начальника управления информационной безопасности АО “Северсталь Менеджмент”, на примере внедрения системы управления безопасностью SECURITM в ретейле, рассказал нам, как автоматизация экономит ресурсы специалистов, позволяя поддерживать баланс между развитием бизнеса и безопасностью.
  • Как инструменты разработки становятся средствами для кражи криптоактивов
    Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера “Шард”
    Количество атак на цепочку поставок программного обеспечения в прошлом году выросло на 156% по сравнению с годом ранее, по данным исследования Sonatype. Разберемся, как эта угроза проявляет себя в мире криптовалют, и почему привычные инструменты разработчика становятся орудием злоумышленников.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...