Bankovní aplikace a weby jsou podle expertů nejvíce náchylné k útoku

24. 4. 2018 v sekci Článek

Online bankovnictví a webové aplikace využívají miliony uživatelů po celém světě. Některé bankovní instituce však velice podceňují zabezpečení svých služeb, jak ukázal průzkum Positive Technologies. Společnost, která se zabývá bezpečností webových aplikací, podrobila důkladnému zkoumání – pomocí vlastního proprietárního nástroje – 33 webů a služeb. Výsledkem je zjištění, že weby i aplikace bankovních a finančních institucí patří mezi ty nejzranitelnější.

Všechny testované stránky a webové aplikace bankovních institucí obsahovaly podle vyjádření expertů závažné nedostatky. Tuto skutečnost autoři výzkumu připisují zejména komplexní operační logice, která je rozsáhlejší než v případě jiných webů a webových aplikací. Právě komplikovanost a rozměrnost s sebou přináší daleko více příležitostí pro vznik závažných chyb.

Ve výzkumu se například uvádí, že je 80 % testovaných stránek zranitelných vůči cross-site scripting útokům (XSS). Ty umožňují, že může útočník spouštět škodlivý kód přímo na kompromitovaném webu nebo ve webové aplikaci. Obecně však v těchto případech nejde o závažný nedostatek, chybu lze snadno opravit. Její největší riziko však spočívá v možnosti manipulace se vzhledem stránky – díky tomu mohou útočníci jednoduše získat citlivé informace nic netušících uživatelů, což může v případě online bankovnictví představovat kritickou hrozbu.

Společnost Positive Technologies neuvedla, které konkrétní bankovní instituce si pro svůj výzkum zvolila, ale skutečnost, že se závažné problémy objevily u všech, nevrhá na celý segment právě dobré světlo.

Součástí rozsáhlého testování se v rámci výzkumu staly i vládní weby a aplikace. Zde je podle Positive Technologies situace nepatrně lepší, přesto 85 % testovaných webů obsahovalo vážné zranitelnosti, které by mohly být snadno zneužity. „Útočníci mohou tyto zranitelnosti zneužít ke krádeži uživatelských cookies, k provedení phishingového útoku nebo k šíření malwarové infekce,“ zhodnotili odborníci.

Ve vládním sektoru převládají zranitelnosti umožňující XSS útoky, HTTP response splitting a více než dvě třetiny zkoumaných webů jsou náchylné k SQL injektáži. Právě tento typ útoku umožňuje získat citlivá data z databází nebo spouštět na koncovém serveru příkazy. V nejhorším případě pak tímto způsobem může dojít ke kompromitaci celé infrastruktury, což je reálné riziko, pokud se útočník nepozorovaně dostane prostřednictvím napadeného serveru do vnitřní sítě subjektu.

Cílem výzkumu bylo poukázat zejména na to, že zatímco technologie, jako jsou webové aplikační firewally, používá každý, analýzu zdrojového kódu už většina během vývoje webu a webových aplikací neprovádí. Útočníci jsou ale daleko flexibilnější a na neopravené zranitelnosti a slabá místa umí reagovat skutečně rychle.

Zdroj: ZDNet