Хакеры идут по скрипту

Количество атак на российские организации с использованием вредоносного кода растет

Межсайтовый скриптинг стал главной угрозой для веб-приложений

Реклама в «Ъ» www.kommersant.ru/ad

Реклама в «Ъ» www.kommersant.ru/ad

Коммерсантъ

Вход

Коммерсантъ FM

Закрыть меню

Меню сайта

Закрыть

Газета

Weekend

Автопилот

Радио

Подписка

Регионы

Экономика

Политика

Мир

Бизнес

Финансы

Потребительский рынок

Телекоммуникации

Общество

Происшествия

Культура

Спорт

HyperТекст

Игры

Партнерские проекты

Review

Недвижимость

Инвестиции

Карьера

Технологии

Здоровье +

Сомелье

Ответственный бизнес

Страна

Деньги

Наука

Стиль

Энциклопедия красоты

Приложения

Конференции

Клуб

Регата

Академия

Юридический рейтинг

Банкротства

Картотека

Фотоагентство

Редакция

Реклама

Темы

Тенденции

Мультимедиа

Интервью

Справочники

Самое читаемое

Спецпроекты

E-mail рассылки

«Коммерсантъ» для Android

Скачать приложение

RuStore

AppGallery

Москва

Санкт-Петербург

Воронеж

Екатеринбург

Ижевск

Казань

Краснодар

Красноярск

Нижний Новгород

Новороссийск

Новосибирск

Пермь

Ростов-на-Дону

Самара

Саратов

Сочи

Ставрополь

Уфа

Челябинск

Ярославль

Предыдущая страница

$ 76,98

€ 90,7

Â¥ ,09

IMOEX 2786,5

Олимпиада–2026
Переговоры в ОАЭ
Отношения РФ и США
Валютный прогноз
Обзор законов в 2026 году
Гренландия
«Ð¡Ð¾Ð²ÐµÑ‚ мира»
Календарь автомобилиста
Колесников о ÐŸÑƒÑ‚ине
Экономика РФ
«Ðª-Хронограф»
Санкции
США и Украина
Генератор Медведева
Наука
Тесты «Ðª»
Эксклюзивы «Ðª»
Команда Трампа
Книга об Ð¸ÑÑ‚ории «Ðª»
Тенденции
Стиль

Следующая страница

Телекоммуникации

4.05.2025, 0:2

Хакеры идут по скрипту

Количество атак на российские организации с использованием вредоносного кода растет

С начала года в России нарастает число кибератак через внедрение вредоносных скриптов в популярные веб-приложения. Используя уязвимости сайтов, злоумышленники могут получать доступ к пользовательским данным. Такие атаки могут привести к утечкам данных, за которые уже с конца мая бизнесу грозят крупные штрафы. Эксперты считают, что это «вечная» уязвимость и владельцам веб-сервисов нужно постоянно обновлять свои средства защиты.

Выйти из полноэкранного режима

Развернуть на весь экран

Фото: Иван Водопьянов, Коммерсантъ

Фото: Иван Водопьянов, Коммерсантъ

“Ъ” ознакомился со статистикой веб-угроз в первом квартале 2025 года компании «Вебмониторэкс», из которой следует, что из 270 млн зафиксированных в этот период атак на веб-приложения крупных компаний 40% пришлись на межсайтовый скриптинг (XSS-атака), что на 0 п. п. больше, чем за аналогичный период прошлого года. Была проанализирована информация о более чем 60 крупных организациях из различных отраслей, включая госсектор, IT, ритейл, финансы, здравоохранение, промышленность, телеком и др.

XSS (Cross-Site Scripting) — кибератака, при которой злоумышленник внедряет вредоносный код (обычно JavaScript) на уязвимый сайт, веб-приложение или в API (Application Programming Interface, позволяет получать информацию с сайта в обход пользовательского интерфейса). Когда пользователь заходит на такой сайт, скрипт автоматически выполняется в его браузере, что может привести к краже данных, подмене страниц или другим атакам.

Тренд на увеличение межсайтового скриптинга подтверждает основатель компании «Интернет-Розыск» Игорь Бедеров: XSS-атаки остаются в числе наиболее распространенных угроз для веб-приложений. Межсетевой скриптинг чаще всего направлен на сайты интернет-магазинов, авиа- и транспортных компаний, так как на их ресурсах значительно выше вероятность осуществления кражи данных пользователей, особенно банковских карт, объясняет замдиректора ЦК НТИ «Технологии хранения и анализа больших данных» на базе МГУ Тимофей Воронин. Из последних крупных таких атак Игорь Бедеров приводит утечку данных клиентов крупной логистической компании: тогда злоумышленники с помощью вредоносных скриптов получали доступ к cookies и учетным записям.

Кибератаки становятся более избирательными

Кроме кражи пользовательских данных, межсетевой скриптинг может использоваться для криптоджекинга (несанкционированного майнинга криптовалюты на ресурсах жертвы), компрометации сайта и размещения чужого контента, отмечает руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. Еще одной проблемой для владельцев ресурсов является риск потери данных: по 52-ФЗ ответственность за утечку персональных данных лежит на операторе. За первую утечку, согласно новым правилам, вступающим в силу с конца мая, компании грозит штраф до 5 млн руб. в зависимости от количества записей в утечке, при повторной утечке вводятся оборотные штрафы — до % (но не более 500 млн руб.).

Большинство опрошенных “Ъ” экспертов сходятся во мнении, что XSS останется «вечной» уязвимостью. «Это связано с человеческим фактором при разработке, сложности защиты от подобных атак и их эволюции за счет применения ИИ»,— отмечает господин Бедеров. Вместе с тем современные фреймворки для разработки веб-приложений реализованы так, чтобы снизить вероятность появления подобных уязвимостей, считает руководитель Центра компетенций по анализу защищенности «Лаборатории Касперского» Вячеслав Васин, а разработчики браузеров, в свою очередь, внедряют защитные механизмы, затрудняющие эксплуатацию злоумышленниками. Но из-за ошибки пользователей уязвимости будут продолжать появляться, заключает он.

Филипп Крупанин

Газета «Коммерсантъ» №8 от 4.05.2025, стр. 9

Подписывайтесь на темы:

Кибербезопасность 

Разбор. Ъ-Технологии 

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Зарегистрироваться

У меня уже есть аккаунт

Новости компаний
Все

0.02.2026

ООО «Ð¤Ð¾Ñ€Ð¼Ð°»

Первая очередь жилого квартала девелопера Forma введена в ÑÐºÑÐ¿Ð»ÑƒÐ°Ñ‚ацию

0.02.2026

ВЭБ.РФ

ВЭБ.РФ запускает федеральную систему сопровождения инвестиционных проектов

0.02.2026

ГК «Ð“алс-Девелопмент»

«Ð“алс-Девелопмент» объявляет конкурс «Ð˜Ð»Ð»ÑŽÐ·Ð¸Ñ совершенства»

0.02.2026

ПАО «Ð’ымпелКом»

Beeline Cloud и «Ð›Ð°Ð±Ð¾Ñ€Ð°Ñ‚Ð¾Ñ€Ð¸Ñ Числитель» развивают облачные Kubernetes-решения

Благотворительный фонд

8+ реклама

О «Коммерсанте»

Архив

Контакты

Реклама

Вакансии

Android

Обратная связь

Правовая информация

E-mail рассылки

8+

© АО «Коммерсантъ». 27006, Москва, Оружейный переулок д. 4, тел. +7 (495) 797-69-70.

Сетевое издание «Коммерсантъ» (доменное имя сайта: kommersant.ru) зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-76922 от  октября 209 г.

Партнерские проекты/материалы, новости компаний, материалы с пометкой «Промо» и «Официальное сообщение» опубликованы на коммерческой основе.

На kommersant.ru применяются рекомендательные технологии. Подробнее