ДБО наиболее уязвимы для Cross Site Scripting

Компания Positive Technologies представила результаты анализа защищенности сайтов и рейтинг наиболее распространенных уязвимостей сайтов. Согласно исследованию, в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. 62% сайтов в 2013 году содержали уязвимости высокой степени риска. Данный показатель на 45% выше прошлогоднего. Значительная часть исследованных порталов принадлежала банкам — из-за участившихся атак в этой сфере.

Всего в ходе тестов по анализу защищенности, проводившихся компанией в 2013 году, было изучено около 500 веб-сайтов, для 61 из них проводился более углубленный анализ. Большая часть из рассмотренных сайтов принадлежат российским компаниям, но в исследование также вошли и некоторые зарубежные системы.

Исследование основывалось на фактических результатах работ по анализу защищенности, который проводился экспертами с использованием инструментальных и ручных методов по заказу владельцев соответствующих систем. Таким образом, для каждой рассмотренной системы вошла информация об уязвимостях, которые там заведомо присутствуют (каждая уязвимость проходила ручную верификацию).

В большинстве случаев анализ проводился методами черного или серого ящика (то есть исследователи находились в тех же условиях, что потенциальный атакующий), а для 13% систем помимо этого для анализа были предоставлены исходные коды приложений. Среди рассматриваемых приложений были сайты, находящиеся в промышленной эксплуатации, и тестовые системы на стадии приемки в эксплуатацию.

Самая распространенная уязвимость 2013 года — межсайтовое выполнение сценариев (Cross Site Scripting) — встречается на 78% исследованных сайтов. Данный недостаток позволяет атакующему влиять на содержимое веб-страницы, отображаемой в браузере пользователя, в том числе с целью распространения вредоносного кода или получения учетных данных жертвы. Например, в случае уязвимой системы интернет-банкинга злоумышленник может сформировать ссылку, относящуюся к реальному сайту банка, при переходе по которой пользователь увидит фальшивую форму авторизации. Введенные пользователем данные будут направлены на сервер злоумышленника.

На втором месте по популярности (69%) — недостаточная защита от подбора идентификаторов или паролей пользователей (Brute Force), например, вследствие отсутствия или некорректной реализации механизма CAPTCHA.

В топ-10 рейтинга также вошли две уязвимости высокой степени риска — «Внедрение операторов SQL» (43%) и «Внедрение внешних сущностей XML» (20%).

Самыми небезопасными оказались сайты, написанные на языке PHP: 76% из них содержат критические уязвимости. Менее уязвимы веб-ресурсы на Java (70%) и ASP.NET (55%). Опасная уязвимость «Внедрение операторов SQL» встречается на 62% сайтов, написанных на PHP, для других языков данный показатель значительно ниже.

В банковской сфере большая часть мошенничества в России связана с фальшивыми картами (в основном результат скимминга). Ущерб от онлайн-мошенничества, которое напрямую не на 100%, но связано с недостатками систем ДБО, составило 1,6 млрд руб.

«Действительно, по нашей статистике в среднем системы ДБО защищены лучше, чем другие приложения. При этом системы ДБО в большинстве случаев анализируются в тестовой среде, так что многие уязвимости, вошедшие в статистику, были исправлены банками еще до того, как приложение стало доступным для пользователей», — прокомментировала руководитель аналитической группы отдела анализа защищенности Positive Technologies Евгения Поцелуевская.  

Согласно исследованию, ни одна из исследованных систем ДБО не соответствовала полностью требованиями стандарта безопасности PCI DSS. Для систем ДБО наиболее актуальной стала уязвимость среднего уровня риска «Межсайтовое выполнение сценариев», которая встречается в 75% систем ДБО и может привести к атакам на пользователей через фишинг и распространение вредоносного кода. Что касается уязвимостей высокой степени риска, которые позволяют атаковать серверные компоненты, то наиболее распространенные уязвимости, встречающиеся в половине рассмотренных систем ДБО, могут привести к отказу в обслуживании и к чтению файлов на сервере. Однако в текущем исследовании оценивался лишь общий уровень риска уязвимостей в соответствии с методикой CVSS (Common Vulnerability ScoringSystem), тогда как для систем ДБО решающее значение имеют недостатки логики работы системы и возможность превратить обнаруженные недостатки в вывод денег. И, как показывает прошлогоднее исследование Positive Technologies, зачастую именно комбинация уязвимостей среднего уровня риска может привести к краже денег у клиента.

Также увеличился спрос на анализ безопасности сайтов СМИ, что связано с громкими случаями их взломов и распространения дезинформации. Кроме того, исследовались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.

Автор: Алексей Писарев (info@mskit.ru)

Рубрики: Безопасность

Ключевые слова: ddos, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, троян, безопасность, информационная безопасность, аутентификация

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

03.04.2020 После обращения президента РФ голосовой трафик в сети Tele2 удвоился

27.03.2020 Рунет и дети: перед карантином

25.03.2020 «МойОфис» ставит на Африку

24.03.2020 Интернет-ретейл: есть ли жизнь во время COVID-19

18.03.2020 4G и 5G увеличат инвестиции в технологии выездного обслуживания

11.03.2020 LTE-заплатка на российский 5G

11.03.2020 Архивы электронных документов: хранить нельзя уничтожить

06.03.2020 Tele2 помог ВШЭ запустить контакт-центр

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода