Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, кабинеты пользователей клиентов и т.п.), исследованных знатоками отдела анализа защищенности Solar JSOC группы компаний «Солар» в 2023 году. Среди мобильных приложений данный показатель приблизительно в два с лишним раза меньше - 7%. Таким образом, мобильные приложения защищены лучше и менее подвержены критическим уязвимостям.
Отмечается, что больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то бишь через них можно нанести существенный ущерб информационным активам компании. При этом безусловное большинство уязвимостей обладают невысокой сложностью эксплуатации - не требуют выполнения каких-либо дополнительных условий. А 46% обнаруженных изъянов потенциальный хакер можем использовать даже без авторизованного доступа.
Недостатки высокой и средней степени критичности есть и в мобильных приложениях. Большинство (77%) уязвимостей сконцентрировано в серверной части, остальные - в клиентской. Более того, почти многие критичные для бизнеса уязвимости были выявлены именно в серверной части.
Самой распространенной проблемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Удачная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении, а также позволяет пользователю действовать вне установленных привилегий, что может быть использовано преступником для компрометации чувствительных данных или получения дополнительных функциональных возможностей.
На очереди трудноразрешимой задачей веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и иже сведения. Недостаток обнаружен в 73% проектов. Аналогичная информация позволяет преступнику упростить поиск общеизвестных уязвимостей и подготовку дальнейших атак. Также треть веб-приложений может быть взломана за счет атаки XSS (межсайтовое внедрение сценариев), на входах которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.
Российские IP-адреса становятся пропуском для хакеров
В серверной части мобильных приложений также встречаются такие недостатки, как раскрытие отладочной и конфигурационной информации (настройки, внутренние адреса, компоненты приложения) и нарушение бизнес-логики приложения. Для клиентской части большинства приложений отличительны небезопасное хранение данных на устройстве, неименье обфускации исходного кода приложения и раскрытие внутри него информации о тестовых доменах и токенах.
«Приложения (как мобильные, так и веб) занимательны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать удачную атаку на организацию. Например, приложения могут содержать оплошности, позволяющие злодеям получить доступ к персональным данным третьих лиц, или же стать начальной точкой вектора преодоления наружного периметра. Проблема сейчас особенно актуальна, так как все бизнесы активно развивают дистанционные форматы взаимодействия с партнерами и клиентами, и неоднократно, желая прытче выпустить приложение, упускают из виду вопросы ИБ», - говорил руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов.
Ранее ГК «Солар» оглашала о запуске Solar CPT. Сервис выявляет критические уязвимости и недостатки меняющегося наружного IТ-периметра, которыми могут воспользоваться хакеры. Сысканные в процессе сканирования недостатки верифицируются знатоками анализа защищенности, только после всего этого заказчик получает дельные рекомендации по защите.
Фото: «Солар»