Главное Авторские колонки Вакансии Образование
207 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

43% всех хакерских атак на российские компании происходят из-за уязвимостей в корпоративных веб-приложениях

Специалисты ГК «Солар» советуют фирмам применять принципы безопасной разработки программного обеспечения, чтобы снизить риски информационной безопасности, и проводить регулярные аудиты уязвимостей, устраняя их как можно быстрее.

Часто организации недооценивают важность так называемых «некритичных» уязвимостей, которые могут раскрыть информацию о внутренней структуре системы (OWASP A3:2017 — Раскрытие чувствительных данных). Это создает благоприятные условия для планирования целевых атак.

Другая распространенная ошибка — недооценка важности обработки файлов cookie и заголовков (OWASP A6:2017 — Неправильная конфигурация безопасности, A5:2017 — Нарушенный контроль доступа), что может привести к подмене данных пользователя. В то же время более критичные уязвимости компании обычно выявляют на стадии тестирования приложений или устраняют с помощью дополнительных средств защиты.

По мнению экспертов Solar appScreener, до 90% программного кода состоит из готовых компонентов с открытым исходным кодом, и в большинстве из них содержатся уязвимости и дефекты, которые могут привести к несанкционированному доступу к данным. В современных условиях использования ПО с открытым исходным кодом и публичных репозиториев, обязательно нужно контролировать безопасность кода как основных компонентов, так и их зависимостей. Если компания этого не делает на этапе разработки веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.

Еще одна проблема российских приложений — это практика создания веб-версий и мобильных приложений с использованием одного и того же интерфейса и схемы с одним бэкендом. Это позволяет сэкономить на разработке, тестировании и технической поддержке, но ставит под угрозу безопасность.

Соблюдение принципов безопасной разработки поможет избежать взломов через приложения и связанных с этим финансовых и репутационных потерь. Этот подход позволяет выявить уязвимости на ранних стадиях разработки, тестирования и эксплуатации ПО, что предотвращает их использование злоумышленниками после выпуска продукта.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.