Эксперты группы компаний (ГК) «Солар» провели исследования за 2023 год корпоративных веб‑приложений (корпоративные порталы, личные кабинеты клиентов и так далее) и корпоративных мобильных приложений. Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб‑приложений. Среди мобильных приложений этот показатель составил 7%.
По словам ИБ‑экспертов, 54% всех веб‑приложений имеют хотя бы одну уязвимость высокой или средней степени критичности. В 46% этих уязвимостей потенциальный хакер получал неавторизованный доступ.
В рамках отчёта 77% найденных уязвимостей в мобильных приложениях имеют высокую и среднюю степень критичности есть. В серверной части приложений было выявлено 94% критичных уязвимости от всех найденных в мобильных приложениях. При этом 75% всех обнаруженных в серверной части уязвимостей были отмечены как лёгкие в эксплуатации.
По этому отчёту, в 60% всех мобильных и 75% веб‑приложений проблемами уже несколько лет остаются недостатки контроля доступа. В 73% веб‑приложений серьёзной проблемой остаётся раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP‑адреса и другие критчиные сведения. Также по отчёту, 33% веб‑приложений может быть взломана с помощью атаки XSS.
В 88% всех проникновений ИБ‑специалисты успешно преодолели внешний периметр, в 41% случаев был получен доступ во внутреннюю сеть, а в 18% были скомпрометированы различные узлы внешнего периметра, в 29% случаев удалось получить доступ к критичным данным и внешним системам и приложениям, только в 12% случаев не удалось получить доступ к критическим системам и узлам.
В рамках отчёт указан топ-5 критических уязвимостей внешних периметров: первое место занимает использование слабых паролей (53%), второе — использование ПО с известными уязвимостями (35%), третье — раскрытие отладочной и конфигурационной информации (35%), четвёртое — внедрение SQL‑кода в запросы к базе данных (29%) и пятое занимает выполнение произвольного кода (29%)
С полной версией отчёта «Ключевые уязвимости информационных систем российских компаний» можно ознакомиться на сайте.