Киберэксперт Едемская: цепочка мелких уязвимостей может разрушить систему безопасности
Исследователь безопасности обнаружил критическую уязвимость в веб-приложении, которая позволила ему, имея учётную запись обычного пользователя, получить полный контроль над административной панелью. Эксплойт был основан на комбинации нескольких ошибок: отсутствии подтверждения email, слабом контроле доступа к административным функциям и возможности редактирования чужих профилей без повторной аутентификации. Киберэксперт и инженер-аналитик компании «Газинформсервис» Екатерина Едемская отметила, что этот кейс наглядно демонстрирует, как цепочка, казалось бы, незначительных уязвимостей может привести к полной компрометации системы.
«Отсутствие базовых мер валидации — таких как подтверждение email и ограничение доступа к административным функциям, — в сочетании с возможностью редактировать чужие учётные записи без повторной аутентификации указывает на серьёзные изъяны в проектировании логики авторизации. Такие ошибки не требуют сложных техник — они становятся результатом недооценки угроз и недостаточного внимания к безопасности на уровне архитектуры», — отметила киберэксперт.
Инженер-аналитик добавила, что речь идёт не просто о баге, а о системной недоработке в управлении доступом. Уязвимости логического уровня часто ускользают от автоматических сканеров, поскольку не основаны на нарушении протоколов, а вытекают из слабых границ привилегий и неограниченного доверия к клиенту. Это подчёркивает необходимость думать как атакующий на всех этапах разработки и тестирования — проверяя не только то, что пользователь может сделать, но и то, должен ли он иметь такую возможность.
По словам Едемской, такие уязвимости особенно опасны для корпораций со сложной системой ролей и доступов, где велик риск накопления избыточных привилегий и появления теневых учётных записей. Отсутствие централизованного контроля над правами доступа может привести к тому, что даже добросовестные сотрудники окажутся в зоне риска из-за неверно выданных полномочий, а обнаружить такие случаи «на глаз» практически невозможно.
«Решения класса IGA, такие как Ankey IDM от компании "Газинформсервис", незаметно, но эффективно закрывают подобные уязвимости: они централизуют управление доступами, автоматически отслеживают нарушения принципа минимальных привилегий и предоставляют бизнесу прозрачные механизмы контроля за тем, кто и к каким данным имеет доступ. Такие платформы не только повышают уровень безопасности, но и избавляют команды от ручной рутины, снижая вероятность человеческой ошибки — самой частой причины инцидентов», — подчеркнула Едемская.
2 октября в рамках межвузовского студенческого форума GIS DAYS (Global Information Security Days) состоится мастер-класс, призванный помочь всем желающим не просто найти работу, а построить по-настоящему успешную и востребованную карьеру в сфере информационной безопасности. Эксперт в области подбора и развития талантов в информационной безопасности, ведущий менеджер по персоналу компании «Газинформсервис» Юлия Богданова, расскажет, как молодым специалистам войти в одну из самых востребованных и быстрорастущих ИТ-сфер..
В 2025 году количество кибератак на автомобили увеличилось на 20% по сравнению с предыдущим годом, достигнув 328 случаев за первые восемь месяцев. Эксперты крупнейших в России IT- и ИБ-компаний рассказали о возросшем интересе киберпреступников к автопрому и предостерегли от киберрисков.
Телерадиоведущая и филолог Анна Дробот выступит с эксклюзивным мастер-классом по риторике и самопрезентации на Межвузовском студенческом ИБ/ИТ-форуме GIS STUDENT DAY 2025, который пройдёт 2 октября в Санкт-Петербурге. Её сессия станет важной частью HR-трека, посвящённого развитию гибких навыков (soft skills) в сфере информационной безопасности.
Эксперт команды VK Bug Bounty Алексей Лямкин выступит на Студенческом дне ИБ/ИТ-форума GIS DAYS* 2025. Мероприятие пройдёт 2 октября 2025 года на одной из самых популярных площадок Северной столицы — в «Севкабель Порт». Фокусом его доклада станет индустрия Bug Bounty — одно из самых трендовых и высокооплачиваемых направлений в сфере кибербезопасности.
1–2 октября в рамках форума GIS DAYS* 2025 компания «Газинформсервис» проведёт киберсоревнования на собственном киберполигоне в формате Red Team vs Blue Team. За призовой фонд будут бороться четыре «синие» и восемь «красных» команд. Призовой фонд — 5 000 000 рублей.
QTECH совместно с компанией «Газинформсервис» провела тестирование работы средства доверенной загрузки SafeNode System Loader на серверах QTECH на базе процессоров Intel Xeon Scalable третьего поколения. Испытания показали, что программное обеспечение корректно функционирует на оборудовании QTECH.
