В первом квартале 2025 года число XSS-атак* на российские компании выросло на 10 п. п. — до 40% от всех зафиксированных 270 млн атак, сообщили в «Вебмониторэкс». Чаще всего атакуются веб-приложения ритейла, транспорта и госсектора. Через XSS злоумышленники получают доступ к cookies, учетным записям и данным банковских карт.

Руководитель ИБ-направления «Телеком биржи» Александр Блезнеков:
— Кроме кражи пользовательских данных, межсетевой скриптинг может использоваться для криптоджекинга (несанкционированного майнинга криптовалюты на ресурсах жертвы), компрометации сайта и размещения чужого контента. Еще одной проблемой для владельцев ресурсов является риск потери данных: по 152-ФЗ ответственность за утечку персональных данных лежит на операторе. За первую утечку, согласно новым правилам, вступающим в силу с конца мая, компании грозит штраф до 15 млн руб. в зависимости от количества записей в утечке, при повторной утечке вводятся оборотные штрафы — до 3% (но не более 500 млн руб.).

Эксперты считают XSS «вечной» уязвимостью из-за человеческого фактора и сложности полной защиты, несмотря на усилия разработчиков фреймворков и браузеров.

Детали в полной версии статьи на сайте «Ъ».

*XSS (Cross-Site Scripting) — тип кибератаки, при которой вредоносный код встраивается в уязвимый сайт или API. При посещении такого ресурса скрипт запускается в браузере пользователя, что может привести к краже данных или подмене содержимого.