Rambler's Top100
Блоги Евгений ЦАРЕВ

В системах ДБО содержатся критически опасные уязвимости

  28 апреля 2018 Страница персоны
Судьи, которые разбирают споры между банками и клиентами по вопросам хищений, с удовольствием узнают об этом и выносят решения в пользу клиента. Главное, чтобы суд узнал.

Эксперты Positive Technologies проанализировали приложения банков и обнаружили, что больше половины из них содержат критически опасные уязвимости. Даже несмотря на заметный рост уровня защищенности, имеющиеся недостатки все еще несут серьезные угрозы для банков и их клиентов, отмечается в ежегодном исследовании Positive Technologies. В среднем в 2017 году на каждую систему ДБО приходилось по 7 уязвимостей, что больше показателя 2016 года, когда на каждое финансовое приложение приходилось только 6 недостатков. При этом, стоит заметить, что доли уязвимостей высокого и среднего уровня риска заметно снизились. Наиболее распространенными уязвимостями онлайн-банков в 2017 году стали «Межсайтовое выполнение сценариев» (75% систем) и «Недостаточная защита от атак, направленных на перехват данных» (69%), которые позволяют совершать атаки на клиентов банков (например, перехватывать значения cookie или похищать учетные данные). Больше половины онлайн-банков (63%) содержали уязвимость высокого уровня риска «Недостаточная авторизация», которая позволяет злоумышленнику получить несанкционированный доступ к функциям веб-приложения, не предназначенным для данного уровня пользователя. Кроме того, уязвимости в 94% онлайн-банков могли быть использованы злоумышленниками для доступа к сведениям, составляющим банковскую тайну клиентов, и личной информации. Похожая тенденция наблюдается и в ситуации с мобильными банковскими приложениями: снизились доли уязвимостей высокого (29% вместо 32% в 2016 году) и среднего уровня риска (56% вместо 60%).

Эксперты советуют не только проводить анализ защищенности приложений, но и не забывать про анализ исходного кода приложений. Анализировать код необходимо и в системах, построенных на базе готовых вендорских решений: уязвимости могут возникать в процессе внедрения и настройки. До выпуска исправлений для выявленных уязвимостей рекомендуется использовать систему превентивного контроля (web application firewall), а после их устранения проводить проверку эффективности принятых мер.

Источник:

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.