43% всех хакерских атак на российские компании происходят из-за уязвимостей в корпоративных веб-приложениях
Часто организации недооценивают важность так называемых «некритичных» уязвимостей, которые могут раскрыть информацию о внутренней структуре системы (OWASP A3:2017 — Раскрытие чувствительных данных). Это создает благоприятные условия для планирования целевых атак.
Другая распространенная ошибка — недооценка важности обработки файлов cookie и заголовков (OWASP A6:2017 — Неправильная конфигурация безопасности, A5:2017 — Нарушенный контроль доступа), что может привести к подмене данных пользователя. В то же время более критичные уязвимости компании обычно выявляют на стадии тестирования приложений или устраняют с помощью дополнительных средств защиты.
По мнению экспертов Solar appScreener, до 90% программного кода состоит из готовых компонентов с открытым исходным кодом, и в большинстве из них содержатся уязвимости и дефекты, которые могут привести к несанкционированному доступу к данным. В современных условиях использования ПО с открытым исходным кодом и публичных репозиториев, обязательно нужно контролировать безопасность кода как основных компонентов, так и их зависимостей. Если компания этого не делает на этапе разработки веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.
Еще одна проблема российских приложений — это практика создания веб-версий и мобильных приложений с использованием одного и того же интерфейса и схемы с одним бэкендом. Это позволяет сэкономить на разработке, тестировании и технической поддержке, но ставит под угрозу безопасность.
Соблюдение принципов безопасной разработки поможет избежать взломов через приложения и связанных с этим финансовых и репутационных потерь. Этот подход позволяет выявить уязвимости на ранних стадиях разработки, тестирования и эксплуатации ПО, что предотвращает их использование злоумышленниками после выпуска продукта.