Центр кибербезопасности ФСБ сообщает о массированных атаках на российские web-приложения
interfax-russia.ru14 марта. Созданный по указу руководства ФСБ Национальный координационный центр по компьютерным инцидентам (НКЦКИ) сообщил о массированных компьютерных атаках на web-приложения в российском сегменте интернета и выпустил рекомендации по их защите.Как говорится в бюллетене НКЦКИ, атаки производятся в том числе через внешние компоненты кода web-страниц."К таким компонентам могут относиться: подключаемые JavaScript-библиотеки, CSS-фреймворки, плагины защиты от вредоносной активности (CAPTCHA), информационные и аналитические плагины (новостные ленты, интерактивные карты, подсчёт посещений информационного ресурса и т.д.), а также web-шрифты, подгружаемые со сторонних серверов", - говорится в сообщении.В бюллетене подчеркивается, что помимо классических компьютерных атак хакеры могут скомпрометировать инфраструктуру размещения легитимного кода сторонних компонентов и подменить код на вредоносный.Для защиты приложений НКЦКИ рекомендует организовать авторизованному пользователю web-приложения возможность самостоятельного завершения сеанса работы, обеспечить гарантированное удаление идентификатора соответствующей сессии по завершению сеанса работы клиента.
Также в центре советуют организовать доступ к защищенным ресурсам web-приложения только после аутентификации, хранить аутентификационные данные пользователей только в криптографически защищенном виде и исключить хранение аутентификационных данных в файлах и HTML-страницах, доступных по URL.В случае, если в web-приложении возможно изменение пользователем своего профиля, их следует подтверждать дополнительной процедурой аутентификации.Как сообщалось, ранее НКЦКИ сообщал об угрозах массированных компьютерных атак на информационные ресурсы РФ.