Аналитические компании, работающие в сфере информационной безопасности, отмечают рост количества веб-приложения, имеющих уязвимости, которые потенциально могут приводить к краже персональных\личных\приватных\конфиденциальных данных. Доля подобных приложений\ресурсов всего за последний год взлетела с 70 процентов до 80. Метка нашей эпохи – количество приложений, гораздо быстрее растёт, чем количество высококвалифицированных программистов.
За прошлый год у 80 процентов сайтов и приложений выявлены серьёзные уязвимости, позволяющие красть данные. В список таких приложений включены личные кабинеты, в том числе коммерческих банков, мобильных операторов, онлайн-магазинов, а также порталы государственных органов, на которые доступ осуществляется вводом персональных данных. Три года назад доля кривых уязвимых приложений была на уровне 60 процентов, годом позже возросла до 70 процентов.
Анализ приложений показал, что в среднем на каждое из них приходится не менее тридцати критических дыры. /то втрое превышает показатели предыдущего года. Общее количество уязвимостей более 70. Главная беда, это межсайтовые сценарии, их совершенно никто не фильтрует, никаким образом не защищается, кроме как установкой стандартных модулей, которые давно устарели. Через эту уязвимость легко создавать фишиговые страницы-клоны, причём динамические, и спокойно собирать все введённые данные пользователей. Проверка источника, что пытается авторизоваться реализована на очень примитивном уровне, что при водит к тому, что после запроса пользователем он получает не реальную страницу, а поддельную. Все данные, естественно, остаются у злоумышленника. При этом авторизация на настоящем сайте всё равно происходит, данные вбивает злоумышленник (автоматический сценарий). Никакой подмены пользователь даже не сможет заметить.
Также множество сайтов криво сконфигурированы, и раскрывают сами всю информацию о своих клиентах и пользователях. Хакеры обычно интересуется теми веб-приложениями, которые в финансовой тематике. Кроме того, есть специальные пауки, которые сутками без остановки тестируют различные сайты, просто посылая специфические запросы, и в конце дня собирается несколько сот или тысяч сайтов, которые взломать совсем нетрудно.
Главная причина столь быстрого увеличения уязвимых приложений из-за снижения общей квалификации программистов. Сегодня востребованность в них очень высока, и реально грамотные программисты попросту не успевают появляться. Пройдя шестимесячные курсы, они уже начинают работать с реальными проектами. Работодатели требуют всего лишь умения программировать, но вот делать это безопасно могут очень немногие.
Поделись мнением о статье "Веб-приложений с уязвимостями становится больше", предложи свой вариант в комментариях! Спасибо!
