Експерти от групата компании Solar (GC) проведоха проучване за 2023 г. на корпоративни уеб приложения (корпоративни портали, лични клиентски акаунти и др.) и корпоративни мобилни приложения. Уязвимости с висока степен на сериозност са открити в 17% от корпоративните уеб приложения. Сред мобилните приложения тази цифра е 7%.
Според експерти по информационна сигурност 54% от всички уеб приложения имат поне една уязвимост с висока или умерена тежест. В 46% от тези уязвимости потенциалният хакер е получил неоторизиран достъп.
Според доклада 77% от откритите уязвимости в мобилните приложения са с висока и средна степен на критичност. В сървърната част на приложенията са идентифицирани 94% от критичните уязвимости на всички открити в мобилните приложения. В същото време 75% от всички уязвимости, открити в сървърната част, са маркирани като лесни за използване.
Според този доклад 60% от всички мобилни и 75% от уеб приложенията са имали проблеми с пропуски в контрола на достъпа от няколко години. В 73% от уеб приложенията сериозен проблем остава разкриването на информация за отстраняване на грешки и конфигурация, включително потребителски вход, пароли и бисквитки, настройки на използваната СУБД, вътрешни IP адреси и друга критична информация. Също така, според доклада, 33% от уеб приложенията могат да бъдат хакнати чрез XSS атака.
В 88% от всички прониквания специалистите по информационна сигурност успешно са проникнали във външния периметър, в 41% от случаите е получен достъп до вътрешната мрежа, а в 18% са били компрометирани различни възли на външния периметър, в 29% от случаите са успели да получите достъп до критични данни и външни системи и приложения, само в 12% от случаите не е било възможно да получите достъп до критични системи и възли.
Докладът съдържа първите 5 критични уязвимости на външни периметри: първото място е заето от използването на слаби пароли (53%), второто е използването на софтуер с известни уязвимости (35%), третото е разкриването на отстраняване на грешки и конфигурационна информация (35%), четвъртото е въвеждането на SQL код в заявки към бази данни (29%), а петото място е заето от изпълнение на произволен код (29%)
Пълната версия на доклада „Ключови уязвимости в информационните системи на руски компании“ може да бъде намерена на уебсайта.
bbabo.Net