«Клеим» патчи для PHP: как держать кибербез бизнеса в тонусе?
В PHP-фундаменте множества онлайн-ресурсов обнаружен ряд критических уязвимостей, ставящих под угрозу миллионы веб-сайтов, включая бизнес-приложения, интернет-магазины и платёжные системы. Киберэксперт компании «Газинформсервис» Михаил Спицын предупреждает: это открывает возможности для различных атак, от отказа в обслуживании (DoS) до кражи конфиденциальных данных.
«Бесспорно, что PHP — популярный серверный язык, и он лёг в основу миллионов веб-приложений. Зачастую PHP является ключевой технологической основой многих критически важных бизнес-приложений, CRM, CMS, ERP-модулей. Недавно был обнаружен ряд уязвимостей, которые затрагивают глобальное сообщество разработчиков и корпораций. Помимо веб-приложений, следует сделать акцент на том, что под удар попадают онлайн-магазины и платёжные шлюзы, инструменты CI/CD, которые зависят от PHP-библиотек», — поясняет эксперт.
Михаил Спицын отмечает, что среди недавних уязвимостей обнаружены проблемы с механизмом перенаправлений, некорректная обработка заголовков, неверная интерпретация переносов строк. В совокупности эти проблемы могут привести к ряду серьёзных последствий: неправильная маршрутизация HTTP-запросов, DoS-атаки или сбои, приводящие к недоступности веб-приложений. Эти последствия — гарантия репутационного ущерба, а с мая ещё и прямое попадание под ужесточенную политику штрафования.
«Среди важнейших мер митигации: аудит конфигураций, контроль процесса Patch-management, то есть своевременные обновления. Организациям следует наладить защиту на разных плоскостях инфраструктуры, например: развернуть межсетевой экран для Web-приложений (WAF) для фильтрации потенциально опасных запросов; а также организовать процесс логирования и мониторинга; в этом поможет централизованная система анализа SIEM. Ankey Siem NG богат на изобилие коннекторов, в чём его большое преимущество. С помощью такого инструмента можно настроить уведомления о подозрительной активности. Соблюдение таких мер безопасности и использование комплекса средств защиты информации — необходимость для стабильной работы без финансовых потерь», — добавил киберэксперт.
2 октября в рамках межвузовского студенческого форума GIS DAYS (Global Information Security Days) состоится мастер-класс, призванный помочь всем желающим не просто найти работу, а построить по-настоящему успешную и востребованную карьеру в сфере информационной безопасности. Эксперт в области подбора и развития талантов в информационной безопасности, ведущий менеджер по персоналу компании «Газинформсервис» Юлия Богданова, расскажет, как молодым специалистам войти в одну из самых востребованных и быстрорастущих ИТ-сфер..
В 2025 году количество кибератак на автомобили увеличилось на 20% по сравнению с предыдущим годом, достигнув 328 случаев за первые восемь месяцев. Эксперты крупнейших в России IT- и ИБ-компаний рассказали о возросшем интересе киберпреступников к автопрому и предостерегли от киберрисков.
Телерадиоведущая и филолог Анна Дробот выступит с эксклюзивным мастер-классом по риторике и самопрезентации на Межвузовском студенческом ИБ/ИТ-форуме GIS STUDENT DAY 2025, который пройдёт 2 октября в Санкт-Петербурге. Её сессия станет важной частью HR-трека, посвящённого развитию гибких навыков (soft skills) в сфере информационной безопасности.
Эксперт команды VK Bug Bounty Алексей Лямкин выступит на Студенческом дне ИБ/ИТ-форума GIS DAYS* 2025. Мероприятие пройдёт 2 октября 2025 года на одной из самых популярных площадок Северной столицы — в «Севкабель Порт». Фокусом его доклада станет индустрия Bug Bounty — одно из самых трендовых и высокооплачиваемых направлений в сфере кибербезопасности.
1–2 октября в рамках форума GIS DAYS* 2025 компания «Газинформсервис» проведёт киберсоревнования на собственном киберполигоне в формате Red Team vs Blue Team. За призовой фонд будут бороться четыре «синие» и восемь «красных» команд. Призовой фонд — 5 000 000 рублей.
