«Солар» назвал топ 5 критических уязвимостей банковских приложений

Группа компаний «Солар» исследовала защищённость банковских веб‑приложений. В 2024 году специалисты компании проанализировали код более 100 финансовых организаций. Они выявили основные уязвимости и способы их эксплуатации.

В 20% приложений уровень защиты оказался низким, в 39% — средним. Это значит, что более 50% сервисов уязвимы к атакам. В 50% исследованных приложений найдены критические проблемы безопасности.

Самая распространённая уязвимость — недостаток контроля доступа. Он встречается в 78% случаев. Из‑за слабого разграничения прав нарушители могут получить доступ к данным. Например, сотрудник банка может видеть движение средств по счетам клиентов. Чтобы снизить риски, «Солар» рекомендует применять принцип наименьших привилегий и контролировать изменение прав доступа.

Межсайтовый скриптинг (XSS) остаётся острой проблемой для 75% веб‑приложений. Вредоносный код вводится через пользовательские данные и выполняется в браузере жертвы. Чаще всего злоумышленники крадут сессионные cookies или перенаправляют пользователей на фишинговые сайты. Банкам нужно валидировать и экранировать вводимые данные, а также использовать Content Security Policy (CSP).

На 56% случаев приходятся ошибки в шифровании. Устаревшие протоколы и слабые криптоалгоритмы позволяют взломщикам получить доступ к паролям, номерам карт и личным данным клиентов.

Проблемы с логированием и мониторингом составляют 36% уязвимостей. Если банк не фиксирует подозрительные события, он может не заметить атаку. Но избыточное логирование тоже опасно. Например, если в промышленной среде сохраняется полное логирование, данные клиентов могут оказаться вне защищённых систем.

Частые проблемы есть и в API. Если скрытые точки входа остаются без защиты, это может привести к утечкам