Как сообщили в ГК «Солар», зачастую организации недооценивают значимость так называемых «некритичных» уязвимостей, которые позволяют раскрыть сведения о внутренней структуре системы (OWASP A3:2017-Sensitive Data Exposure). Это, в свою очередь, создает условия для планирования целенаправленных атак. Другой распространенной ошибкой эксперты назвали — невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене данных пользователя.
В то же время более критичные уязвимости компании обычно выявляют на этапе тестирования приложений или устраняют с помощью дополнительных средств защиты, отметили в компании.
Эксперты Solar appScreener пояснили, что до 90 % программного кода состоит из готовых open-source компонентов, и в большей части в них содержатся уязвимости и дефекты, позволяющие получить несанкционированный доступ к информации. В современных реалиях использование open-source программного обеспечения и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и зависимостей. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.
Другой проблемой, по словам аналитиков «Солар», является то, что многие компании создают веб-версии и мобильные приложения на одном и том же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако при таком подходе под угрозу ставится безопасность.
Избежать взломов через приложения, а также сопряженных финансовых и репутационных потерь поможет следование принципам безопасной разработки ПО. Это подход, при котором еще на ранних стадиях написания кода, тестирования и эксплуатации ПО выявляются уязвимости, которые могут быть использованы злоумышленниками после выпуска продукта, добавили в компании.
Ранее «Телеспутник» писал, что операторы связи активно разрабатывают собственные решения по борьбе с телефонным мошенничеством, а также предлагают виртуальных помощников, функции блокировки рекламы и сервисы безопасности для детей, об этом говорится в исследовании J`son & Partners Consulting, посвященном сервисам цифровой безопасности абонентов связи и пользователей крупных экосистем.
