В последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Как отмечают в Positive Technologies, атака на корпоративный сайт не только нарушает работу онлайн-услуг и подрывает репутацию владельцев, но зачастую становится первым этапом взлома внутренних сетей крупных компаний.
Всего в ходе тестов по анализу защищенности было изучено около 500 веб-сайтов, причем значительная часть исследованных из них принадлежала банкам. Выяснилось, что 62% сайтов содержат уязвимости высокой степени риска. Что касается сайтов дистанционного банковского обслуживания, то ни одна из исследованных систем не соответствовала полностью требованиями стандарта безопасности PCI DSS.
Самая распространенная уязвимость — межсайтовое выполнение сценариев (Cross Site Scripting) — встречается на 78% исследованных сайтов. Данный недостаток позволяет атакующему влиять на содержимое веб-страницы, отображаемой в браузере пользователя, в том числе с целью распространения вредоносного кода или получения учетных данных жертвы. Например, в случае уязвимой системы интернет-банкинга злоумышленник может сформировать ссылку, относящуюся к реальному сайту банка, при переходе по которой пользователь увидит фальшивую форму авторизации. Введенные пользователем данные будут направлены на сервер злоумышленника. На втором месте по популярности — недостаточная защита от подбора идентификаторов или паролей пользователей. В топ-10 также вошли две уязвимости высокой степени риска — внедрение операторов SQL и внедрение внешних сущностей XML.
Самыми небезопасными оказались сайты, написанные на языке PHP: 76% из них содержат критические уязвимости. Менее уязвимы веб-ресурсы на Java и ASP.NET.