Хакеры все чаще взламывают онлайн-ресурсы компаний ради данных пользователей
С начала этого года почти 40% атак на сайты российских организаций было направлено на похищение пользовательских данных. Речь идет об атаках типа XSS (межсайтовый скриптинг): в случае их успеха в руках злоумышленников могут оказаться как данные клиентов, так и учетная информация для входа в сеть самой организации.
К такому выводу пришли эксперты компании Вебмониторэкс, проанализировав статистику веб-угроз в январе-апреле 2025 года. Всего за этот период было совершено более 270 млн атак на веб-приложения клиентов компании.
Анализ был проведен на основе большого массива агрегированных данных о разных типах атак на клиентов Вебмониторэкс, безопасность которых обеспечивается одноименной платформой защиты веб-приложений, микросервисов и API.
Для отчета была проанализирована информация о более чем 160 крупных организациях из различных отраслей, включая госсектор, ИТ, ритейл, финансы, здравоохранение, промышленность, телеком.
Межсайтовый скриптинг (XSS-атака) лидирует среди всех попыток атак (его доля составила почти 40%), это немного (на 3%) превышает показатель 4 квартала 2024 года. XSS-атака предполагает, что злоумышленник пытается внедрить вредоносный код в веб-страницу. Этот код срабатывает каждый раз, когда кто-то открывает эту страницу. Пользователь ничего не подозревает, ведь сайт выглядит как обычно. Он вводит свои логины, пароли, данные банковской карты или выполняет другие действия — и всё это попадает в руки атакующего. Чаще всего вредоносный код встраивается в интерактивные элементы сайта (строка поиска, форма авторизации, поле для данных банковской карты).
Еще 16% веб-атак в отчетном периоде было связано с удаленным исполнением кода (RCE-атаки). Успешная эксплуатация RCE-уязвимостей дает злоумышленникам полный контроль над целевой системой, включая доступ к конфиденциальным данным и различным сегментам корпоративной сети.
Также в топ-5 входят атаки типа Path Traversal (попытки получить доступ к файловой системе через ошибки в фильтрации запросов к приложению), сканирование ботами на наличие уязвимостей и подбор паролей (brute-force).
«Веб-приложения и микросервисы, безусловно, упрощают взаимодействие с клиентами и коллегами, но в то же время без должной защиты они могут стать слабым звеном в периметре организации. Несмотря на то, что проблема XSS-уязвимостей существует уже 20 лет, с каждым годом число подобных атак только растет, ведь реализовать XSS под силу даже хакеру со средней квалификацией. Эффективным способом защитить собственную инфраструктуру от веб-атак станет использование межсетевого экрана уровня приложений (WAF), который будет проверять, фильтровать и блокировать вредоносные запросы до того, как они достигнут веб-приложения», – отметил Лев Палей, директор по информационной безопасности компании Вебмониторэкс.
Также эксперты советуют, например, запретить на сайт любую загрузку дополнительного кода, картинок, HTML-форм или экранировать все формы ввода на странице ресурса. Кроме того, необходимо уделить особое внимание архитектуре API, ведь через них приложения обмениваются большим объемом данных, компрометация которых может стать фатальной для бизнеса.
О компании
Компания Вебмониторэкс — российский разработчик одноименной платформы для защиты веб-приложений, микросервисов и API. Более 11 лет команда Вебмониторэкс помогает крупным компаниям отражать кибератаки. Под защитой Вебмониторэкс более 160 крупных организаций из различных отраслей, включая госсектор, ИТ, ритейл, финансы, здравоохранение, промышленность, телеком и др.
О платформе
Платформа «Вебмониторэкс» – это комплекс продуктов для информационной безопасности: файрвол веб-приложений со сканерами периметра и уязвимостей, модулем перепроверки атак, а также четыре новых продукта класса API Security. Платформа защищает от атак, находит уязвимости веб-приложений, определяет структуру API и поддерживает внешний периметр компании в актуальном состоянии. Такой подход позволяет фокусироваться на реальных угрозах и быстро реагировать на направленные атаки.
Платформа «Вебмониторэкс» внесена в Реестр российского программного обеспечения и сертифицирована по требованиям ФСТЭК России к межсетевым экранам типа «Г» 4 класса защиты.
