МОСКВА, 20 мая. /ТАСС/. Подавляющее большинство (98%) веб-приложений подвержены кибератакам, утечки данных выявлены в 91% приложений. Об этом сообщается в исследовании Positive Technologies (имеется в распоряжении ТАСС), которое было представлено в рамках ежегодного форума по практической кибербезопасности Positive Hack Days.
"По данным Positive Technologies, в 98% исследованных веб-приложений злоумышленники имели возможность проводить атаки на пользователей. <...> А несанкционированный доступ и утечки важных данных были выявлены в 84% и 91% приложений", - сообщается в исследовании.
В 84% исследованных приложений были выявлены угрозы несанкционированного доступа к личным кабинетам пользователей, в том числе администраторов. В 72% веб-приложений злоумышленник может получить доступ к функциональности или контенту, которые не должны быть для него доступны, например, просмотр личных кабинетов других пользователей или возможность изменять срок пробного периода подписки, уточняется в исследовании.
Подобные атаки могут привести к распространению вредоносного ПО, перенаправлению на ресурсы злоумышленников или краже данных с использованием методов социальной инженерии, поясняется в исследовании. Наиболее опасными уязвимостями являются недостатки механизмов авторизации и аутентификации пользователей.
"Результаты анализа защищенности показали, что в 60% приложений могут быть раскрыты персональные данные, а в 47% - учетные данные пользователей, что на 13 и 16 п. п. больше, чем в 2019 году. Персональные и учетные данные являются желанными целями злоумышленников, что подтверждают данные итоговой аналитики актуальных киберугроз 2021 года", - пояснил аналитик исследовательской группы Positive Technologies Федор Чунижеков.
Уязвимости приложений по отраслям
Во всех тестовых приложениях промышленного сектора были выявлены уязвимости высокого уровня риска, добавляется в исследовании. При этом эксперты отмечают положительную динамику состояния защищенности веб-приложений промышленных компаний - доля приложений, имеющих крайне низкий уровень защищенности, сократилась более чем в три раза по сравнению с 2019 годом.
Около половины приложений IT-отрасли также имели низкий или крайне низкий уровень защищенности.
В исследовании отмечается повышение уровня защищенности сайтов онлайн-торговли, среди которых не было ни одного приложения с низким уровнем защищенности.
Согласно результатам исследования, 67% продуктивных приложений госучреждений получили от специалистов низкую оценку уровня защищенности, что почти не отличается от показателей предыдущих лет.
Доля веб-приложений, содержащих уязвимости высокой степени риска, составила 66% в 2020 году, а в 2021 году - 62%, что значительно больше показателя 2019 года. Среди уязвимостей высокого уровня риска первое и второе места занимают некорректная авторизация пользователей и обход авторизации с использованием ключа пользователя, на третьем месте - некорректная аутентификация. При этом многие уязвимости сайтов связаны с ошибками в их коде: за прошедшие два года 72% обнаруженных уязвимостей были связаны с уязвимым кодом веб-приложений.
В выборку исследования вошли результаты проводимого в 2020-2021 годах анализа защищенности веб-приложений, владельцы которых дали свое согласие на использование данных в исследовательских целях.