КиберСек

Новости Кибербезопасности

Метка: web application

  • Уязвимости в 46% веб-приложений в России приводят к утечкам данных

    Уязвимости в 46% веб-приложений в России приводят к утечкам данных

    По данным ГК «Солар», у почти половины веб-приложений российских компаний есть проблемы, которые могут привести к утечке данных. Большинство из них не очень хорошо защищены и могут быть взломаны, чтобы получить доступ к личной информации пользователей.
    Финансовые веб-приложения чаще всего имеют проблемы с контролем доступа (в 78% случаев). Исследование также обнаружило другие серьезные проблемы, такие как недостаточное шифрование, небезопасная обработка и хранение конфиденциальной информации.
    Неустранимые уязвимости в сети ИТ — одна из основных причин успешных кибератак на российские компании. В прошлом году 40% таких атак привели к утечкам данных.
    С начала мая в России ужесточились наказания за утечки личных данных. Штрафы для компаний могут достигать 15 миллионов рублей, а при повторном нарушении — до 3% годового дохода. Если компания скроет инцидент от Роскомнадзора, ее могут оштрафовать на 3 миллиона рублей.

  • PHP под угрозой: DoS и утечка данных

    PHP под угрозой: DoS и утечка данных

    В PHP были исправлены пять уязвимостей, которые могут увеличить риск атак на веб-приложения. Последствия таких атак могут быть разными, от утечки конфиденциальных данных до отказа в обслуживании.

    Все уязвимости связаны с функцией в PHP, которая помогает работать с потоками данных. Одна из уязвимостей (CVE-2025-1861) возникла из-за слишком маленького размера буфера для заголовков перенаправления, что могло привести к утечке информации и даже к DoS атаке на удаленный сайт.

    Другая уязвимость (CVE-2025-1734) возникла из-за неправильной обработки недопустимых заголовков, что могло привести к request smuggling и утечке конфиденциальных данных. Еще одна уязвимость (CVE-2025-1217) была вызвана неправильной обработкой заголовков, что могло привести к ошибкам в определении MIME-типа и некорректной интерпретации ответа на запрос.

    Другие две уязвимости (CVE-2025-1219 и CVE-2025-1736) также могли привести к некорректной обработке данных и возможным DoS атакам.

    Патчи для этих уязвимостей включены в последние версии PHP. Рекомендуется всем разработчикам обновить свои версии PHP, чтобы защитить свои веб-приложения от возможных атак злоумышленников.

  • PHP-уязвимость позволяет хакерам взламывать сайты через SQL-инъекцию

    PHP-уязвимость позволяет хакерам взламывать сайты через SQL-инъекцию

    Вышла новая уязвимость в PHP 8, которая может использоваться для атаки на веб-приложения и сайты через SQL-инъекции. Уязвимость затрагивает несколько версий PHP 8, но уже есть патчи, которые нужно установить как можно скорее.
    Проблема получила идентификатор CVE-2022-31631 и оценку 9,1 из 10 по опасности. Она актуальна для PHP 8.0.x до версии 8.0.27, 8.1.x до версии 8.1.15 и 8.2.x до версии 8.2.2.
    Проблема кроется в функции PDO::quote() при работе с базами данных SQLite. Эта функция обычно используется для очистки данных, вводимых пользователем, перед их использованием в запросах к базе данных.
    Уязвимость CVE-2022-31631 связана с переполнением буфера. Если PDO::quote() обрабатывает слишком длинную строку, функция не сможет правильно защитить данные.
    Это может привести к созданию опасных SQL-запросов, которые позволят злоумышленникам внедрить вредоносный код и получить доступ к базе данных.
    Проблема связана с разницей в обработке длинных строк между PHP и SQLite. Например, базовая функция SQLite sqlite3_snprintf() использует 32-битное число для длины, в то время как PHP PDO::quote() использует 64-битное число. Это различие приводит к переполнению буфера.
    Пользователям 32-битных систем уязвимость не так опасна, но пользователям 64-битных систем необходимо установить патчи незамедлительно.

  • ViewState: новая цель для хакеров в ASP.NET

    ViewState: новая цель для хакеров в ASP.NET

    Компания Microsoft предупредила разработчиков о рисках использования публично доступных ключей ASP.NET. Эти ключи могут сделать их приложения уязвимыми для атак. Злоумышленники могут использовать такие ключи для доставки вредоносного фреймворка под названием Godzilla.

    В декабре 2024 года исследователи Microsoft обнаружили хакерскую группу, которая использовала публичный статический ключ ASP.NET для внедрения вредоносного кода через механизм ViewState. Это позволяет им внедрять вредоносный код в веб-приложения, обходя их защиту. Было обнаружено более 3000 таких публичных ключей, которые могут быть использованы для таких атак.

    Раньше атаки ViewState предполагали использование украденных или проданных ключей. Но новая угроза более опасна, так как ключи стали доступны публично и могут быть случайно использованы разработчиками без должной проверки.

    Для защиты от этой угрозы Microsoft рекомендует избегать использования ключей из открытых источников, регулярно менять и проверять их на соответствие опубликованным хешам. В некоторых случаях компания даже удалила подобные ключи из своей документации.