Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах

15
1 мин
«Лаборатория Касперского» представила новый отчёт, посвящённый десяти наиболее распространённым уязвимостям в веб-приложениях за период с 2021 по 2023 год. Исследование проводилось с учётом приложений, которые использовались преимущественно российскими, китайскими и ближневосточными организациями. В отчёте отмечается, что около 44% исследуемых веб-приложений были написаны на языке Java, на втором и третьих местах находятся NodeJS (17%) и PHP (12%). При этом около 39% проанализированных приложений использовали микросервисную архитектуру. Информация для исследования была получена аналитиками «Лаборатории Касперского» за счёт анализа web-приложений тремя методами: белого, серого и чёрного ящика. Практически все исследуемые веб-приложения, которые тестировали методом серого ящика, специалисты также проанализировали методом чёрного ящика, поэтому в общей статистике были объединены результаты по этим двум подходам. В связи с этим, практически все проекты по анализу защищённости веб-приложени

«Лаборатория Касперского» представила новый отчёт, посвящённый десяти наиболее распространённым уязвимостям в веб-приложениях за период с 2021 по 2023 год. Исследование проводилось с учётом приложений, которые использовались преимущественно российскими, китайскими и ближневосточными организациями.

В отчёте отмечается, что около 44% исследуемых веб-приложений были написаны на языке Java, на втором и третьих местах находятся NodeJS (17%) и PHP (12%). При этом около 39% проанализированных приложений использовали микросервисную архитектуру.

Информация для исследования была получена аналитиками «Лаборатории Касперского» за счёт анализа web-приложений тремя методами: белого, серого и чёрного ящика. Практически все исследуемые веб-приложения, которые тестировали методом серого ящика, специалисты также проанализировали методом чёрного ящика, поэтому в общей статистике были объединены результаты по этим двум подходам. В связи с этим, практически все проекты по анализу защищённости веб-приложений было выполнено методом серого и чёрного ящиков.

Для определения самых распространённых и критических уязвимостей аналитики «Лаборатории Касперского» провели анализ результатов проектов по анализу защищённости в приложении за последний 3-летний период.

В итоге, «Лаборатория Касперского» представила следующую десятку уязвимостей в приложениях:

  1. Недостатки контроля доступа.
  2. Раскрытие чувствительной информации.
  3. Подделка межсерверных запросов (SSRF).
  4. Внедрение операторов SQL.
  5. Межсайтовое выполнение сценариев (XSS).
  6. Недостатки аутентификации.
  7. Недостатки конфигурации.
  8. Недостаточная защита от перебора пароля.
  9. Слабый пароль пользователя.
  10. Использование компонентов с известными уязвимостями.

По словам аналитиков, представленный рейтинг выступает в качестве экспертного заключения, который базируется на том, как много веб-приложений содержит определённую уязвимость и насколько критично воздействие этой ошибки на приложение.

С полной версией отчёта «Лаборатории Касперского» можно ознакомиться по следующей ссылке.

Оригинал публикации на сайте CISOCLUB: "ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются