Хакеры идут по скрипту

Количество атак на российские организации с использованием вредоносного кода растет

Межсайтовый скриптинг стал главной угрозой для веб-приложений

Реклама в «Ъ» www.kommersant.ru/ad

Реклама в «Ъ» www.kommersant.ru/ad

Коммерсантъ

Коммерсантъ FM

Вход

Новый поиск.
Теперь с Ð¸Ð½Ñ‚еллектом

Закрыть меню

Меню сайта

Закрыть

Газета

Weekend

Автопилот

Радио

Подписка

Регионы

Экономика

Политика

Мир

Бизнес

Финансы

Потребительский рынок

Телекоммуникации

Общество

Происшествия

Культура

Спорт

HyperТекст

Игры

Партнерские проекты

Review

Недвижимость

Инвестиции

Карьера

Технологии

Здоровье +

Сомелье

Ответственный бизнес

Юридический бизнес

Страна

Деньги

Наука

Стиль

Энциклопедия красоты

Приложения

Конференции

Клуб

Регата

Академия

Банкротства

Картотека

Фотоагентство

Редакция

Реклама

Темы

Тенденции

Мультимедиа

Интервью

Справочники

Самое читаемое

Спецпроекты

E-mail рассылки

«Коммерсантъ» для Android

Скачать приложение

RuStore

AppGallery

Москва

Санкт-Петербург

Воронеж

Екатеринбург

Ижевск

Казань

Краснодар

Красноярск

Нижний Новгород

Новороссийск

Новосибирск

Пермь

Ростов-на-Дону

Самара

Саратов

Сочи

Ставрополь

Уфа

Челябинск

Ярославль

Предыдущая страница

$ 7,4

€ 84,6

Â¥ 0,80

IMOEX 2420,56

Что посмотреть в кино
Ближний Восток
ЧМ-2026
Валютный прогноз
СВО
Топливный кризис
Контуры будущего
Экономика РФ
Саммит G7
Навстречу выборам
Ормузский пролив
Армения
Колесников о ÐŸÑƒÑ‚ине
«ÐŸÐ¾Ð»Ð¸Ñ‚тотализатор»
Санкции
Отношения РФ и США
«Ð”еньги»
Команда Трампа
Тенденции
Эксклюзивы «Ðª»
Тесты «Ðª»
«Ðª-Хронограф»
Генератор Медведева
Наука
Книга об Ð¸ÑÑ‚ории «Ðª»

Следующая страница

Телекоммуникации

4.05.2025, 0:2

Хакеры идут по скрипту

Количество атак на российские организации с использованием вредоносного кода растет

С начала года в России нарастает число кибератак через внедрение вредоносных скриптов в популярные веб-приложения. Используя уязвимости сайтов, злоумышленники могут получать доступ к пользовательским данным. Такие атаки могут привести к утечкам данных, за которые уже с конца мая бизнесу грозят крупные штрафы. Эксперты считают, что это «вечная» уязвимость и владельцам веб-сервисов нужно постоянно обновлять свои средства защиты.

Выйти из полноэкранного режима

Развернуть на весь экран

Фото: Иван Водопьянов, Коммерсантъ

Фото: Иван Водопьянов, Коммерсантъ

“Ъ” ознакомился со статистикой веб-угроз в первом квартале 2025 года компании «Вебмониторэкс», из которой следует, что из 270 млн зафиксированных в этот период атак на веб-приложения крупных компаний 40% пришлись на межсайтовый скриптинг (XSS-атака), что на 0 п. п. больше, чем за аналогичный период прошлого года. Была проанализирована информация о более чем 60 крупных организациях из различных отраслей, включая госсектор, IT, ритейл, финансы, здравоохранение, промышленность, телеком и др.

XSS (Cross-Site Scripting) — кибератака, при которой злоумышленник внедряет вредоносный код (обычно JavaScript) на уязвимый сайт, веб-приложение или в API (Application Programming Interface, позволяет получать информацию с сайта в обход пользовательского интерфейса). Когда пользователь заходит на такой сайт, скрипт автоматически выполняется в его браузере, что может привести к краже данных, подмене страниц или другим атакам.

Тренд на увеличение межсайтового скриптинга подтверждает основатель компании «Интернет-Розыск» Игорь Бедеров: XSS-атаки остаются в числе наиболее распространенных угроз для веб-приложений. Межсетевой скриптинг чаще всего направлен на сайты интернет-магазинов, авиа- и транспортных компаний, так как на их ресурсах значительно выше вероятность осуществления кражи данных пользователей, особенно банковских карт, объясняет замдиректора ЦК НТИ «Технологии хранения и анализа больших данных» на базе МГУ Тимофей Воронин. Из последних крупных таких атак Игорь Бедеров приводит утечку данных клиентов крупной логистической компании: тогда злоумышленники с помощью вредоносных скриптов получали доступ к cookies и учетным записям.

Кибератаки становятся более избирательными

Кроме кражи пользовательских данных, межсетевой скриптинг может использоваться для криптоджекинга (несанкционированного майнинга криптовалюты на ресурсах жертвы), компрометации сайта и размещения чужого контента, отмечает руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. Еще одной проблемой для владельцев ресурсов является риск потери данных: по 52-ФЗ ответственность за утечку персональных данных лежит на операторе. За первую утечку, согласно новым правилам, вступающим в силу с конца мая, компании грозит штраф до 5 млн руб. в зависимости от количества записей в утечке, при повторной утечке вводятся оборотные штрафы — до % (но не более 500 млн руб.).

Большинство опрошенных “Ъ” экспертов сходятся во мнении, что XSS останется «вечной» уязвимостью. «Это связано с человеческим фактором при разработке, сложности защиты от подобных атак и их эволюции за счет применения ИИ»,— отмечает господин Бедеров. Вместе с тем современные фреймворки для разработки веб-приложений реализованы так, чтобы снизить вероятность появления подобных уязвимостей, считает руководитель Центра компетенций по анализу защищенности «Лаборатории Касперского» Вячеслав Васин, а разработчики браузеров, в свою очередь, внедряют защитные механизмы, затрудняющие эксплуатацию злоумышленниками. Но из-за ошибки пользователей уязвимости будут продолжать появляться, заключает он.

Филипп Крупанин

Газета «Коммерсантъ» №8 от 4.05.2025, стр. 9

Подписывайтесь на темы:

Кибербезопасность 

Разбор. Ъ-Технологии 

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Зарегистрироваться

У меня уже есть аккаунт

Предыдущий слайд

Новости компаний
Все

9.06.2026

«Ð”онстрой»

«ÐžÑÑ‚ров» от «Ð”онстроя» — лучший проект бизнес-класса в Ð¼ÐµÐ¶Ð´ÑƒÐ½Ð°Ñ€Ð¾Ð´Ð½Ð¾Ð¹ номинации REPA 2026

9.06.2026

ЛАНИТ

ЛАНИТ принял участие в TECH WEEK 2026

9.06.2026

STONE

Два проекта STONE победили на Real Estate Property Awards 2026

9.06.2026

ГК «Ð¤Ð°Ñ€Ð¼Ð°ÑÐ¸Ð½Ñ‚ез»

«Ð¤Ð°Ñ€Ð¼Ð°ÑÐ¸Ð½Ñ‚ез» расширяет международное сотрудничество в Китае

8.06.2026

АО «Ð‘анк ДОМ.РФ»

Снижение ключевой ставки способствует восстановлению рыночных механизмов в Ð¶Ð¸Ð»Ð¸Ñ‰Ð½Ð¾Ð¹ отрасли — Банк ДОМ.РФ

8.06.2026

АО «Ð‘анк ДОМ.РФ»

Банк ДОМ.РФ назвал главные факторы устойчивости девелоперских проектов

8.06.2026

АО «ÐŸÐ¾Ñ‡Ñ‚а России»

«ÐŸÐ¾Ñ‡Ñ‚овый лес» появился еще в шести регионах

8.06.2026

АО «Ð¢Ð‘АНК»

Т-Банк и Ð¾Ñ‚ель Stella di Mosca объявляют о Ð¿Ð°Ñ€Ñ‚нерстве

8.06.2026

ПАО «Ð’ымпелКом»

«Ð‘илайн бизнес» запустил пакет для малого бизнеса

8.06.2026

АО «Ð¢Ð‘АНК»

Центральный университет и Ð¢-‍Банк впервые проведут ИТ-‍смену в Ð´ÐµÑ‚ском центре «ÐžÐºÐµÐ°Ð½»

Следующий слайд

Благотворительный фонд

8+ реклама

О «Коммерсанте»

Архив

Контакты

Реклама

Вакансии

Android

Обратная связь

Правовая информация

E-mail рассылки

8+

© АО «Коммерсантъ». 27006, Москва, Оружейный переулок д. 4, тел. +7 (495) 797-69-70.

Сетевое издание «Коммерсантъ» (доменное имя сайта: kommersant.ru) зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-76922 от  октября 209 г.

Партнерские проекты/материалы, новости компаний, материалы с пометкой «Промо» и «Официальное сообщение» опубликованы на коммерческой основе.

На kommersant.ru применяются рекомендательные технологии. Подробнее