Новости

DSEC: 47% веб-приложений имеют критические уязвимости

Автор: Фоменко Андрей

Эксперты DSEC обнаружили критические уязвимости в 47% веб-приложений. Чаще всего выявлялись ошибки контроля доступа и SQL-инъекции. Риски также найдены в половине десктопных программ и корпоративных Wi-Fi-сетях.

Эксперты выявили критические уязвимости почти в половине веб-приложений

Специалисты компании по анализу защищенности DSEC, входящей в группу «Солар», провели исследование, по итогам которого сообщили о высоком уровне угроз в цифровой инфраструктуре. Согласно их данным, в 47% изученных веб-приложений была найдена как минимум одна серьёзная уязвимость.

Наиболее распространёнными проблемами стали:

  • ошибки в системе разграничения прав доступа, которые выявлены в 46% случаев;
  • уязвимости, позволяющие внедрять SQL-команды в запросы к базам данных — они составили 14%.
«В 47% веб-приложений обнаружена хотя бы одна уязвимость высокого уровня критичности. Среди них чаще встречались недостатки, связанные с некорректной реализацией контроля доступа (46%) и с внедрением SQL-кода в запросы к базе данных (14%)», — констатировали аналитики.

Проверка исходного кода этих приложений показала, что в 42% ситуаций в нём присутствуют изъяны, открывающие злоумышленникам возможность нанести ущерб IT-активам организаций. В одном из примеров подобная уязвимость могла привести к утечке конфиденциальных сведений о пользователях, включая паспортные данные и номера телефонов.

Риски не ограничиваются сферой веб-технологий. Исследование десктопных приложений, которые инсталлируются через специальные сервисы и функционируют в офлайн-режиме, выявило наличие уязвимостей в половине из них.

Отдельное внимание эксперты уделили проверке устойчивости персонала к социальной инженерии. В ходе симуляции фишинговых атак выяснилось, что:

  • в 100% случаев минимум один сотрудник переходил по подозрительной ссылке;
  • в 86% эпизодов работники вводили свои учётные данные на фиктивных ресурсах или запускали вредоносное программное обеспечение.

Аудит корпоративных Wi-Fi-сетей также выявил существенные пробелы в безопасности. В 43% случаев из-за отсутствия должного сетевого сегментирования злоумышленники теоретически могли получить доступ во внутреннюю сеть компании.

В связи с полученными результатами специалисты DSEC рекомендуют организациям внедрять комплексный подход к защите информационной инфраструктуры. Он должен включать:

  • регулярные внешние и внутренние проверки сетей;
  • обеспечение безопасности Wi-Fi;
  • аудит десктопных и веб-приложений;
  • постоянное обучение сотрудников кибергигиене.
Подписывайтесь на нас в Телеграме и первыми узнавайте о главных новостях и важнейших событиях дня.


Новости партнеров