Цитата:Ведущий архитектор ИБ-компании Swordfish Security Юрий Шабалин рассказал, что более чем треть, до 40%, приложений и веб-сервисов российской разработки имеют опасные уязвимости.
Эксперт подчеркнул, что проблема кроется в потенциально опасном открытом исходном коде. Критические уязвимости содержатся в библиотеках — наборах исходного кода, благодаря чему киберпреступники могут выполнить нужный им вредоносный код на стороне сервера компании и даже полностью парализовать её работу.
Среди опасностей — полный отказ в работе какого-либо веб-сервиса, компрометация инфраструктуры и остановка работы крупной организации. К тому же специалисты обнаружили фрагменты открытого кода, которые предоставляют автору несанкционированный доступ к криптовалютным кошелькам пользователей.
В ходе исследования были проанализированы 300 проектов, как мобильные приложения, программы для компьютеров, так и сервисы. Но наибольше количество проблем эксперты нашли именно у веб-сервисов.
«Такие опасные слабости потенциально открывают злоумышленникам возможности для реализации атак. К примеру, ряд критических уязвимостей, содержащихся в библиотеках, позволяет выполнять произвольный код на стороне сервера, что может повлечь за собой его полную компрометацию и дать возможность попасть в сеть организации», — объяснил Юрий Шабалин.
Не, ну все правильно. Если нельзя посмотреть в код, то и уязвимостей в нем «нет», их же не видно.