Журнал "Information Security/ Информационная безопасность" #2, 2018

• 21 КОНТРОЛЬ ДОСТУПА www.itsec.ru По данным исследовательской группы Positive Technologies, Web- приложения – одни из частых объектов атак киберзлоумыш- ленников. По итогам 2017 г. на их долю пришлось 26% киберин- цидентов. Самые распространен- ные атаки (рис. 2), по данным исследования, связаны с меж- сайтовым выполнением сцена- риев и внедрением SQL-кода (суммарно 44,5%). В зоне особого риска по данным типам угроз оказались банки и электронные торговые площадки. Уязвимости распространенных Web-компонентов, небезопасные привычки кодирования и бум авто- матических эксплойтов преврати- ли CMS, e-commerce и другие Web-платформы в богатые охот- ничьи угодья для хакеров. Так, по данным исследователей, объем средств, похищенных через атаки на ICO, по итогам 2017 г. составил $300 млн. Ежедневный объем ущерба от действий хакеров составляет более 6 млн руб. Эволюция Web-атак OWASP регулярно публикует топ-10 самых актуальных век- торов атак на Web-приложения (рис. 3). Большинство участни- ков этого рейтинга занимают в нем прочные позиции уже на протяжении многих лет, однако в 2017 г. все же есть некоторые изменения [2]: l A4:2017. Посредством XXE злоумышленники делают инъек- ции в XML-потоки, и таким обра- зом получают низкоуровневый доступ к данным, которые про- ходят через Web-приложение; l A8:2017. Для работы с объ- ектами в языках Web-програм- мирования применяется меха- низм сериализации/десериали- зации. Небезопасная десериа- лизация приводит к тому, что злоумышленник может, напри- мер, делать инъекции команд и эскалировать привилегии; l A10:2017. На прикладном уровне процедура журналиро- вания, как правило, отсутству- ет, поэтому факт атаки на Web- приложение (какие данные ему передавались, по каким цик- лам ветвления шло выполне- ние программы) нигде не фик- сируется и остается незаме- ченным; Как и для чего хакеры атакуют Web-приложения егодня большинство коммерческих предприятий, начиная с банков и заканчивая книжными магазинами, осуществляют свой бизнес преимущественно в Интернете. Для удобства управления своими проектами компании используют Web-приложения. Эти приложения являются привлекательной мишенью для киберзлоумышленников, поскольку их взлом открывает широкие возможности: доступ к внутренним ресурсам компании или к чувствительной информации, нарушение функционирования приложения или обход бизнес-логики. Практически любая атака может принести финансовую выгоду для киберзлоумышленника и убытки, как финансовые, так и репутационные – для владельца Web-приложения (рис. 1). С Ярослав Шмелев, преподаватель Высшей школы информационных технологий и безопасности HackerU в России Рис. 1. Среднее количество атак в день на одну компанию, 2017 г. Рис. 2. Типы наиболее распространенных атак на Web-приложения, 2017 г.