По данным «Информзащиты» за 2022 год более 60% от общего количества киберинцидентов пришлось на атаки через веб-приложения. Это на 16% больше, чем за аналогичный период прошлого года. По данным зарубежных экспертов за 2020 год — веб-приложения оказались в центре 39% взломов. Хакеры используют уязвимости в коде приложения для получения доступа к базам, содержащим конфиденциальные данные. Совершив кражу, злоумышленники используют их в качестве выкупа или перепродают на черном рынке для дальнейшего использования в социальной инженерии.
С распространением веб-приложений поверхность атаки организаций значительно расширилась. Приложения есть на личных и рабочих устройствах, и очень часто остаются открытыми и работают в фоновом режиме, а обновления безопасности не всегда выполняются регулярно.
Зачастую веб-приложения содержат личную информацию пользователей, такую как финансовые и медицинские данные или другие конфиденциальные записи, которые могут быть монетизированы для незаконной выгоды. Это значит, что у хакеров есть возможность получить доступ к открытой, уязвимой поверхности атаки, а, следовательно, и к ценным сведениям.
От кибератак не застрахована ни одна отрасль, однако некоторые из них сталкиваются с большим давлением, чем другие. Эксперты «Информзащиты», анализируя 2021 и 2022 года, утверждают, что больше всего от действий киберпреступников страдают финансы, сфера здравоохранения и государственное управление, а также сфера профессиональных услуг. Так, всплеск приложений для онлайн и мобильного банкинга еще во время пандемии привел к увеличению спроса организаций на управление огромными объемами данных, связанных с личными финансами. Злоумышленники увидели в этой тенденции новые возможности: атаки веб-приложений на сектор финансовых услуг увеличились на 38% в период с января по май 2021 года. Также хакеры стали чаще атаковать отрасль здравоохранения: базовые атаки на веб-приложения, разнообразные ошибки и вторжения в систему стали причиной 76% утечек данных в этой сфере в 2021 году.
У злоумышленников есть множество методов, которые они могут использовать для запуска атак на основе приложений. Сегодня можно определить некоторые из наиболее распространенных векторов.
Например, популярен среди хакеров межсайтовый скриптинг (или XSS). Данная атака происходит, когда злоумышленник внедряет вредоносный код на доверенный веб-сайт, отправляя его ничего не подозревающему пользователю. Предполагая, что код отправителя заслуживает доверия, браузер получателя выполняет его, не проверив, тем самым предоставляя хакеру доступ к любым записям, которые хранятся в браузере. Поэтому стоит помнить, что любые данные, которые не были созданы самим PHP для текущего запроса, являются ненадежными. Браузер доверяет всему, что он получает от сервера, и это одна из главных причин межсайтового скриптинга.
Межсайтовый скриптинг при наличии SQL-инъекции — эта атака пользуется тем, что приложения должны запрашивать свою базу данных контента, чтобы выполнить запрос пользователя. Однако вместо того, чтобы удовлетворить обычный запрос контента, злоумышленник вставляет свой собственный SQL-запрос на веб-страницу, эффективно заменяя безобидный входной запрос вредоносным. Успешные атаки могут позволить злоумышленникам подделать личность, изменить данные, уничтожить данные или сделать их полностью недоступными.
Заполнение учетных данных: одна из наиболее распространенных техник захвата учетных записей пользователей. Эта атака включает в себя автоматическое внедрение утекших паролей и имен пользователей методом грубой силы на сотни различных сайтов. Атака использует человеческую привычку повторно использовать один и тот же пароль для нескольких учетных записей и приложений.
DDoS: Распределенные атаки типа «отказ в обслуживании» работают, забивая сервер организации большим количеством запросов, чем он может обработать. Перегружая сервер, атака может сократить время загрузки веб-страниц и полностью вывести из строя целые веб-сайты. Цель хакеров состоит в том, чтобы разорвать линии связи и сделать службы приложения недоступными. Злоумышленники могут совершить DDoS-атаку, закодировав функцию счетчика циклов или специальное выделение объекта, которое вводит чрезвычайно большой объем запросов.
Несмотря на множество хакерских схем, у организаций тоже есть набор инструментов, которые используются для защиты от вторжений. Так, компании могут расширить видимость поверхности атаки с помощью автоматизированных инструментов безопасности, которые выявляют и устраняют уязвимости на ранних этапах жизненного цикла разработки программного обеспечения.
Также эксперты рекомендуют проводить дезинфекцию и проверку пользовательского кода. Дело в том, что большое количество атак на основе веб-приложений связано с использованием слабых мест в пользовательском вводе. Организации могут значительно снизить риск взломов, очистив свои вводимые данные. Это может быть сделано путем удаления нежелательных символов из ввода и проверки, чтобы гарантировать, что входные данные соответствуют установленным буквенно-цифровым требованиям безопасности.
Наконец, организации должны иметь в своем арсенале этичных (белых) хакеров. Эти эксперты умеют предвосхищать дейтсвия хакера, подвергая веб-приложения полному набору всевозможных методов вторжения, чтобы выявить имеющиеся уязвимости.