XSS-атаки составили почти половину всех киберугроз в России в начале 2025 года

В первом квартале 2025 года на веб-приложения российских компаний было совершено около 270 миллионов атак, и 40% из них пришлись на XSS — межсайтовый скриптинг. Такие данные приводит компания «Вебмониторэкс», изучившая инциденты у 160 организаций в ключевых секторах экономики.

Особенно уязвимыми оказались интернет-магазины, транспортные платформы и авиаперевозчики, где чаще всего обрабатываются чувствительные пользовательские данные, включая банковские. Через XSS-злоумышленники внедряют вредоносный код в страницы сайтов, получая доступ к куки и токенам, что может привести к захвату аккаунтов, фишингу и криптоджекингу.

Ситуация усугубляется предстоящими с 30 мая новыми штрафами за утечку персональных данных: до 15 млн рублей за первое нарушение и до 3% от годового дохода за повторное, но не более 500 млн рублей. Это уже привело к росту спроса на ИТ-аудит — компании начали серьезнее относиться к вопросам защиты.

По мнению экспертов, ключевая причина XSS-уязвимостей — человеческий фактор и недостатки в процессе разработки. Хотя современные браузеры и фреймворки постепенно усиливают защиту, полностью исключить угрозу пока невозможно — злоумышленники быстро адаптируются к новым механизмам.