В системах ДБО содержатся критически опасные уязвимости
|
28 апреля 2018 |
|
Судьи, которые разбирают споры между
банками и клиентами по вопросам хищений, с удовольствием узнают об этом и
выносят решения в пользу клиента. Главное, чтобы суд узнал.
Эксперты Positive Technologies
проанализировали приложения банков и обнаружили, что больше половины из
них содержат критически опасные уязвимости. Даже несмотря на заметный
рост уровня защищенности, имеющиеся недостатки все еще несут серьезные
угрозы для банков и их клиентов, отмечается в ежегодном исследовании
Positive Technologies. В среднем в 2017 году на каждую систему ДБО
приходилось по 7 уязвимостей, что больше показателя 2016 года, когда на
каждое финансовое приложение приходилось только 6 недостатков. При этом,
стоит заметить, что доли уязвимостей высокого и среднего уровня риска
заметно снизились. Наиболее распространенными уязвимостями онлайн-банков
в 2017 году стали «Межсайтовое выполнение сценариев» (75% систем) и
«Недостаточная защита от атак, направленных на перехват данных» (69%),
которые позволяют совершать атаки на клиентов банков (например,
перехватывать значения cookie или похищать учетные данные). Больше
половины онлайн-банков (63%) содержали уязвимость высокого уровня риска
«Недостаточная авторизация», которая позволяет злоумышленнику получить
несанкционированный доступ к функциям веб-приложения, не предназначенным
для данного уровня пользователя. Кроме того, уязвимости в 94%
онлайн-банков могли быть использованы злоумышленниками для доступа к
сведениям, составляющим банковскую тайну клиентов, и личной информации.
Похожая тенденция наблюдается и в ситуации с мобильными банковскими
приложениями: снизились доли уязвимостей высокого (29% вместо 32% в 2016
году) и среднего уровня риска (56% вместо 60%).
Эксперты советуют не только проводить
анализ защищенности приложений, но и не забывать про анализ исходного
кода приложений. Анализировать код необходимо и в системах, построенных
на базе готовых вендорских решений: уязвимости могут возникать в
процессе внедрения и настройки. До выпуска исправлений для выявленных
уязвимостей рекомендуется использовать систему превентивного контроля
(web application firewall), а после их устранения проводить проверку
эффективности принятых мер.
Источник:
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.