Согласно данным центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских атак на компании были совершены через уязвимости в корпоративных приложениях.
Организации часто не придают должного значения уязвимостям, которые кажутся «некритичными», но на самом деле могут привести к раскрытию внутренней структуры системы (OWASP A3:2017-Sensitive Data Exposure). Это создаёт возможности для планирования целенаправленных атак.
Ещё одна распространённая ошибка — недостаточное внимание к обработке файлов и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене пользовательских данных. В то же время более серьёзные уязвимости обычно выявляются на этапе тестирования приложений или устраняются с помощью дополнительных мер защиты.
Эксперты Solar appScreener подчёркивают, что до 90% программного кода состоит из готовых open-source компонентов. При этом большинство из них содержит уязвимости и дефекты, которые могут быть использованы для несанкционированного доступа к информации.
В современных условиях использование открытого ПО и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и их зависимостей. Если компания не уделяет этому должного внимания при разработке веб-приложений, вредоносный код может рано или поздно проникнуть в коммерческое ПО.
Ещё одна проблема российских приложений заключается в том, что многие компании создают веб-версии и мобильные приложения на основе одного и того же интерфейса с использованием схемы с одним бэкендом. Это позволяет им экономить на разработке, тестировании и технической поддержке, но при этом ставит под угрозу безопасность.
Избежать взломов через приложения и связанных с этим финансовых и репутационных потерь помогут принципы безопасной разработки. Этот подход подразумевает выявление уязвимостей, которые могут быть использованы злоумышленниками после выпуска продукта, ещё на ранних стадиях написания кода, тестирования и эксплуатации ПО.
Бизнес
Маркетинг
Менеджмент
Импортозамещение
Промышленность
Оборудование
Сделано в России
Законодательство
Госсектор
Аналитика
Инвестиции
Безопасность
Системное администрирование
Автоматизация процессов
Анализ данных
Веб-разработка
Мобильная разработка
Разработка ПО
Софт
Тестирование
Образование и наука
Карьера
