Пресс-релизы //

«Солар» назвал топ 5 критических уязвимостей банковских приложений

В финансовых приложениях, где обрабатываются конфиденциальные данные и транзакции пользователей, безопасность кода имеет важное значение. Эксперты ГК «Солар» проана-лизировали миллионы строк кода с помощью статического, динамического анализа и ана-лиза сторонних компонентов и оценили степень критичности обнаруженных уязвимостей.
Низкий уровень защищенности исследователи отметили в 20% приложений, средний – в 39%. Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Важно отметить, что в более 50% исследованных приложений была обнаружена хотя бы одна критическая уязви-мость.
Одной из самых распространенных уязвимостей в финансовых приложениях является не-достаток контроля доступа (78%). Корректно разграниченный доступ особенно важен для организаций сектора. Отсутствие контроля за привилегиями сотрудников может привести к тому, что как внутренний, так и внешний нарушитель получает нелегитимный доступ к са-мому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонаме-ренных целях. В качестве мер защиты в данном случае специалисты «Солара» рекомен-дуют использовать реализацию принципа наименьших привилегий, а также мониторинг из-менений прав доступа.
Межсайтовый скриптинг (XSS) по-прежнему остается одной из самых актуальных проблем для веб-приложений (75%). Внедрение вредоносного JavaScript-кода происходит через пользовательский ввод, который выполняется в стороннем браузере. Наиболее распро-страненный пример — кража сессионных cookies или перенаправление на фишинговый сайт. Чтобы защититься от межсайтового скриптинга, банкам необходимо более тщательно валидировать и экранировать входные данные, а также использовать Content Security Policy (CSP).
Недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов — третья по распространенности уязвимость (56%). Использование устаревших протоколов и слабых криптоалгоритмов позволяет злоумышленнику быстро подобрать значения хэш-функции или получить доступ к данным.
36% уязвимостей пришлись на недостатки логирования и мониторинга. Отсутствие или не-достаточное логирование событий затрудняет обнаружение и расследование атак. В таких случаях банки могут не отследить несанкционированный доступ к ИТ-системе.
То есть в ИТ-системе есть запись о совершении самой транзакции, однако возникает недо-статок технологической информации о процессе, что также может затруднять расследова-ние киберинцидентов. Внедрение централизованного логирования, мониторинг подозри-тельной активности, использование SIEM-систем помогают финансовым организациям из-бежать подобных рисков.
Избыточное логирование, в свою очередь, так же может привести к инцидентам ИБ. Напри-мер, сохранение функций полного логирования (обычно используется на этапе разработки и тестирования) в промышленной эксплуатации может привести к небезопасному хранению данных пользователя вне информационных систем.
Сейчас большинство зрелых финансовых организаций отказываются от монолитных ин-формационных систем в пользу микросервисной архитектуры. Для обмена данными между частями системы используются интерфейсы прикладного программирования (API). Недо-статочный контроль API, включая сохранение скрытых точек входа может привести к утеч-ке данных или несанкционированному доступу и, по данным исследования «Солара», вхо-дит в топ-5 уязвимостей (25%). Такие риски позволяет нивелировать использование OAuth, JWT, своевременная проверка прав доступа.
Помимо вышеперечисленных уязвимостей в топ-10 самых распространенных также вошли: небезопасная аутентификация и управление сессиями; небезопасная конфигурация; недо-статки в обработке ошибок и шифровании; уязвимости в сторонних библиотеках; а также перехват сессий.
По данным центра противодействия кибератакам Solar JSOC, в 3 квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. Одна из причин — резкий рост атак по типу подбора логина к имеющемуся словарному паролю.
«По данным “Солара”, объем утечек данных из банков по итогам прошлого года составил 410 миллионов строк против 161 миллиона в 2023 году. Они содержали ФИО клиентов, ад-реса, номера телефонов, электронные почты, кредитную историю и другую чувствительную информацию. По объему утечек финансовая отрасль стала наиболее уязвимой среди дру-гих, опережая все сектора экономики, в том числе и госсектор. Мы наблюдаем постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений. Интерес к таким инструментам со стороны банков год к году возрастает, что подтверждают результаты наших исследований. В основном это свя-зано со стремлением финансовых организаций соответствовать требованиям регуляторов и совершенствованием законодательства в части разработки ПО. Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей приложений», — говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener.
Solar appScreener — комплексное решение для контроля безопасности приложений, соче-тающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт может ис-пользоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки.
Анализ защищенности мобильных приложений для операционных систем Android и iOS проводился аналитиками «Солара» посредством статического анализа без функционала декомпиляции кода и опросов заказчиков.

Контактное лицо: Виктория Меркулова
Компания: ГК «Солар»
Добавлен: 19:30, 02.03.2025 Количество просмотров: 157
Страна: Россия

На конференции «Нулевой клик» представят SGO — новый стандарт продвижения в эпоху ИИ-поиска, Корпорация "Интеллектуальные фракталы", 23:14, 10.06.2026, Россия92

Когда ответ на запрос дают ChatGPT, Perplexity или Яндекс GPT, а не поисковые системы — кто решает, чей бренд прозвучит в этом ответе?

«Нетрика Медицина» и eMed Support Systems подписали меморандум о развитии цифрового здравоохранения на Ближнем Востоке, Нетрика, 23:14, 10.06.2026, Россия87

Компании «Нетрика Медицина» (входит в N3.Group и ГК «Ташир МЕДИКА») и eMed Support Systems FZ-LLC заключили меморандум о стратегическом сотрудничестве. Документ подписан 3 июня на Петербургском международном экономическом форуме (ПМЭФ-2026).

МегаФон и банк ДОМ.РФ договорились о цифровом взаимодействии, МегаФон и ДОМ.РФ, 23:10, 10.06.2026, Россия90

Банк ДОМ.РФ и МегаФон на ПМЭФ-2026 подписали соглашение о партнерстве в области реализации цифровых решений. Сотрудничество предусматривает взаимодействие в сфере повышения защиты клиентов от мошенничества, кибербезопасности, внедрения программного обеспечения для хранения данных.

DataSpace Cloud реализовал вируальную комнату данных (VDR) для ITBreeze с целью защищённого обмена инженерной документацией, DataSpace, 23:09, 10.06.2026, Россия84
Облачный провайдер DataSpace реализовал проект по внедрению виртуальной комнаты данных (VDR) для инженерной компании ООО «АйТиБриз».

МегаФон поможет цифровизации нового туристического кластера на Байкале, МегаФон, 23:08, 10.06.2026, Россия92

МегаФон примет участие в развитии цифровой инфраструктуры туристических территорий, создаваемых в рамках федерального проекта «Пять морей и озеро Байкал».

Robort от 3Logic Group поставил РТУ МИРЭА гуманоидов и робособак, Robort от 3Logic Group, 23:05, 10.06.2026, Россия88
Robort от 3Logic Group расширил лабораторную базу РТУ МИРЭА, внедрив гуманоидных и четвероногих роботов для обучения и исследований в сфере ИИ и телеуправления.

«КОРУС Консалтинг» и OSMI IT разработали конструктор ИИ-агентов для «Авандок.ИИ», OSMI IT, 23:03, 10.06.2026, Россия89

Инструмент позволяет создавать ИИ-сценарии и рабочие процессы через визуальный интерфейс. Разработанные агенты доступны в модулях «Авандок.ИИ Чат» и «ИИ-Ассистент Про».

Серверы Crusader внедрены в инфраструктуру Дальневосточного федерального университета, 3Logic Group, 23:03, 10.06.2026, Россия89

Компания 3Logic Group, дистрибьютор комплектующих и ИТ-решений, завершила поставку серверного оборудования Crusader для Дальневосточного федерального университета — одного из крупнейших вузов Дальнего Востока России и ключевого научно-образовательного центра Азиатско-Тихоокеанского региона.

Группа «Борлас» (включая компанию BeringPro) вошла в топ лидеров цифровой трансформации промышленности России, Группа "Борлас", 23:03, 10.06.2026, Россия83

Группа «Борлас» (ГК Softline) подтвердила статус одного из ключевых игроков рынка промышленной цифровизации, заняв ведущие позиции в рейтинге «Лидеры информационных технологий для промышленности – 2026».

Вадим Юн на ПМЭФ-2026 предложил расширить меры поддержки российского ПО для робототехники[, Крайон, 22:53, 10.06.2026, Россия83

Генеральный директор компании Крайон Вадим Юн выступил на дискуссионной сессии «Государственная поддержка роботизированных решений в российской экономике: стимулы и перспективы импортозамещения», состоявшейся в рамках Петербургского международного экономического форума.

Глава Тюмени наградил юного изобретателя, Альянс СОНКО, 22:50, 10.06.2026, Россия90
3 июня 2026 года в филиале МАУК «ЦГБС» «Индустриальный парк «Литера» Герцену Георгию Николаевичу вручена Признательность от главы города Тюмени

Blitz Identity Provider и корпоративный мессенджер «Пачка» подтвердили совместимость SSO, Blitz Identity Provider, Пачка, 22:49, 10.06.2026, Россия45

Сервер аутентификации Blitz Identity Provider и российский корпоративный мессенджер «Пачка» успешно прошли проверку совместимости SSO.

Представители частной медицины обсудили ключевые аспекты цифровизации отрасли на XXII Форуме частных медицинских организаций регионов России в Санкт-Петербурге, ЭлНетМед, 22:06, 03.06.2026, Россия664

27-28 мая 2026 года в Санкт‑Петербурге состоялся XXII Форум частных медицинских организаций регионов России, организованный Ассоциацией независимых экспертов «Частное здравоохранение» совместно с компанией «ЭлНетМед», разработчиком интеграционной платформы N3.Health.

SpaceVM позволяет развернуть отказоустойчивый кластер виртуализации за 15 минут, ДАКОМ М, 22:05, 03.06.2026, Россия682

Платформа виртуализации SpaceVM позволяет создать полноценный отказоустойчивый кластер за 15 минут. За это время администратор может подключить серверы, организовать общее хранилище данных и подготовить инфраструктуру к запуску виртуальных машин.

Axenix: крупный бизнес в России меняет подход к ERP, Axenix, 22:05, 03.06.2026, Россия665

Крупный бизнес больше не рассматривает замену зарубежных ERP-систем как формальную ИТ-задачу. Компании реального сектора связывают такие проекты с устойчивостью операционной модели, управляемостью данных и снижением зависимости от зарубежной ИТ-инфраструктуры.