Большинство уязвимостей веб-приложений содержится в исходном коде

Недавно стало известно, что эксперты из компании «Positive Technologies» провели анализ защищенности веб-приложений. Как результат - в 90 % случаях хакеры атакуют посетителей сайта. 16 % приложений наполнены уязвимостями, которые могут дать преступникам контроль над системой, а в 8 % случаев возможна еще и атака на внутреннюю сеть компании. Помимо этого, после полного доступа к веб-серверу хакеры могут размещать на сайте собственный контент, или атаковать посетителей, в том числе – посредством загрузки вредоносного ПО.

Как показало исследование, за прошлый год доля веб-приложений с уязвимостями высокого уровня упала на 17 % по сравнению с 2018 годом. Число уязвимостей на одно приложение упало в полтора раза по сравнению с прошлым годом. При этом общий уровень защищенности веб-приложений оценивают достаточно низко.

Статистика показывает, что причина 82 % всех уязвимостей – ошибки в коде. Как заявляют эксперты, высокий процент ошибок был связан с отсутствием проверки кода на наличие уязвимостей во время его написания. Еще одной причиной считается приоритет для разработчиков в пользу функциональности, а не безопасности.

После проверки эксперты в 45 % исследованных приложений эксперты нашли недостатки аутентификации, многие из которых – крайне опасны.

Как заявляют эксперты, 90 % всех веб-приложений могут подвергаться угрозе атаки на клиентов. В качестве возможных сценариев атак рассматривается заражение компьютеров вредоносными программами или фишинговые атаки для получения учетных или других персональных данных.