Фейк платежом красен
Максим Буйлов о реальных и мнимых банковских уязвимостях
В конце прошлой недели знакомые безопасники обсуждали появившееся на одном из хакерских форумов объявление о продаже за $20 тыс. возможности удаленного выполнения кода (Remote Code Execution, RCE) в сети банков ряда стран. Наряду с кредитными организациями Австрии, Италии и Парагвая было предложение и по российскому банку. В InSafety ее оценивают как максимальную угрозу «класса А1 по классификации OWASP», отмечая, что «это гарантированный способ взлома сайтов и веб-приложений». Возможность «удаленного внедрения кода в серверный скрипт в 100% случаев приводит к взлому ресурса», одновременно злоумышленник «получает доступ к серверу атакуемого сайта».
Фото: Коммерсантъ / Дмитрий Лебедев