Группа компаний «Солар» исследовала защищённость банковских веб‑приложений. В 2024 году специалисты компании проанализировали код более 100 финансовых организаций. Они выявили основные уязвимости и способы их эксплуатации.
В 20% приложений уровень защиты оказался низким, в 39% — средним. Это значит, что более 50% сервисов уязвимы к атакам. В 50% исследованных приложений найдены критические проблемы безопасности.
Самая распространённая уязвимость — недостаток контроля доступа. Он встречается в 78% случаев. Из‑за слабого разграничения прав нарушители могут получить доступ к данным. Например, сотрудник банка может видеть движение средств по счетам клиентов. Чтобы снизить риски, «Солар» рекомендует применять принцип наименьших привилегий и контролировать изменение прав доступа.
Межсайтовый скриптинг (XSS) остаётся острой проблемой для 75% веб‑приложений. Вредоносный код вводится через пользовательские данные и выполняется в браузере жертвы. Чаще всего злоумышленники крадут сессионные cookies или перенаправляют пользователей на фишинговые сайты. Банкам нужно валидировать и экранировать вводимые данные, а также использовать Content Security Policy (CSP).
На 56% случаев приходятся ошибки в шифровании. Устаревшие протоколы и слабые криптоалгоритмы позволяют взломщикам получить доступ к паролям, номерам карт и личным данным клиентов.
Проблемы с логированием и мониторингом составляют 36% уязвимостей. Если банк не фиксирует подозрительные события, он может не заметить атаку. Но избыточное логирование тоже опасно. Например, если в промышленной среде сохраняется полное логирование, данные клиентов могут оказаться вне защищённых систем.
Частые проблемы есть и в API. Если скрытые точки входа остаются без защиты, это может привести к утечкам данных. Эта уязвимость выявлена в 25% приложений. Для безопасности API необходимо применять OAuth, JWT и проверять права доступа.
Центр Solar JSOC отмечает, что в третьем квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учётных записей сотрудников. Чаще всего пароли подбирали по словарям.
Руководитель развития бизнеса ПО Solar appScreener Владимир Высоцкий, заявил, что по данным «Солара», объём утечек данных из банков по итогам прошлого года составил 410 миллионов строк против 161 миллиона в 2023 году. Они содержали ФИО клиентов, адреса, номера телефонов, электронные почты, кредитную историю и другую чувствительную информацию. По объёму утечек финансовая отрасль стала наиболее уязвимой среди других, опережая все сектора экономики, в том числе и госсектор.
Источник новости: habr.com
