«Солар» назвал топ-5 критических уязвимостей банковских приложений
ГК «Солар», архитектор комплексной кибербезопасности, оценила текущий уровень защищенности банковских веб-приложений. В 2024 году в рамках исследования веб-приложений более 100 финансовых организаций были собраны данные о наиболее распространенных уязвимостях и способах их эксплуатации.
Эксперты ГК «Солар» проанализировали миллионы строк кода с помощью статического, динамического анализа и анализа сторонних компонентов и оценили степень критичности обнаруженных уязвимостей.
Низкий уровень защищенности отмечен в 20% приложений, средний – в 39%. Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Более чем в 50% исследованных приложений была обнаружена хотя бы одна критическая уязвимость.
Одной из самых распространенных уязвимостей в финансовых приложениях является недостаток контроля доступа (78%). В этом случае внутренний или внешний нарушитель получает нелегитимный доступ к информации. В качестве мер защиты специалисты «Солара» рекомендуют применять принцип наименьших привилегий, а также внедрить мониторинг изменений прав доступа.
Межсайтовый скриптинг (XSS) остается одной из самых актуальных проблем для веб-приложений (75%). Внедрение вредоносного JavaScript-кода происходит через пользовательский ввод, который выполняется в стороннем браузере. Наиболее распространенный пример — кража сессионных cookies или перенаправление на фишинговый сайт. Чтобы защититься от межсайтового скриптинга, необходимо валидировать и экранировать входные данные, а также использовать Content Security Policy (CSP).
Недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов — третья по распространенности уязвимость (56%). Использование устаревших протоколов и слабых криптоалгоритмов позволяет злоумышленнику подобрать значения хешфункции или получить доступ к данным.
36% уязвимостей пришлось на недостатки логирования и мониторинга. Отсутствие или недостаточное логирование событий затрудняет обнаружение и расследование атак. В таких случаях банки могут не отследить несанкционированный доступ к ИТ-системе.
Финансовые организации переходят от монолитных информационных систем к микросервисной архитектуре. Для обмена данными между частями системы используются интерфейсы прикладного программирования (API). Недостаточный контроль API, включая сохранение скрытых точек входа, может привести к утечке данных или несанкционированному доступу и, по данным исследования «Солара», входит в топ-5 уязвимостей (25%). Такие риски можно нивелировать с помощью OAuth, JWT, своевременной проверки прав доступа.
В рейтинг распространенных уязвимостей также вошли небезопасная аутентификация и управление сессиями; небезопасная конфигурация; недостатки в обработке ошибок и шифровании; уязвимости в сторонних библиотеках; перехват сессий.
ГК «Солар»
Реклама