Веб-приложения давно перестали быть просто витриной компании в интернете. По итогам 2025 года каждая пятая успешная кибератака на организации была направлена именно на веб-ресурсы - и в ближайшие два года давление будет только нарастать.
DDoS удвоился, уязвимости никуда не делись
Самый заметный тренд года - взрывной рост атак на отказ в обслуживании. Доля DDoS в инцидентах против веб-ресурсов достигла 46% и за год выросла вдвое. Российские ресурсы пострадали ещё сильнее: 48% всех зарегистрированных случаев. Причины - геополитическая напряжённость, сложившийся рынок DDoS-сервисов и доступность инструментов, не требующих серьёзной технической подготовки. Порог входа для атакующего упал до неприличия. матч Португалия - Узбекистан ЧМ-2026
Уязвимости идут следом. В мировом разрезе на их эксплуатацию пришлось 40% успешных инцидентов, в России - 43%. При тестах на проникновение специалисты использовали бреши в публично доступных приложениях в 60% векторов получения доступа во внутреннюю сеть. Больше половины проверенных сервисов содержали уязвимости высокого риска. Девять из десяти - среднего или низкого.
Особняком стоит категория Broken Access Control - ошибки управления доступом. На неё пришёлся 51% всех выявленных уязвимостей за 2025 год и первый квартал 2026-го. Такие баги позволяют обходить проверки прав, повышать привилегии и вмешиваться в бизнес-логику: например, менять стоимость заказа или подтверждать транзакцию без обязательных шагов верификации.
ИИ работает на обе стороны баррикад
Разработчики активно подключают ИИ-ассистентов к написанию кода. Результат неоднозначный: синтаксически модели справляются отлично - корректность кода превышает 95%. Но средний уровень безопасности сгенерированного кода едва дотягивает до 55%. Хуже всего дела обстоят с XSS и ошибками журналирования, где нужно учитывать контекст между разными частями приложения. Машина этого пока не умеет.
Атакующие тоже не стоят на месте. ИИ помогает им сканировать слабые эндпойнты, анализировать старые версии сайтов и подбирать способы эксплуатации типовых ошибок. Прогноз на 2026-2027 годы неутешительный: массовая генерация кода через нейросети приведёт к появлению предсказуемых уязвимостей, которые преступники смогут искать и эксплуатировать в автоматическом режиме. Конвейер взлома против конвейера разработки.
Отдельный риск - старые утечки учётных данных. В 2025 году украденные логины, пароли и токены применялись в 17% успешных атак на веб-сервисы. Теперь ИИ помогает быстро очищать базы паролей, сопоставлять записи с актуальными сервисами и находить рабочие точки входа. Атака с легитимными учётными данными выглядит как обычная активность - засечь её вовремя крайне сложно.
API и инфраструктура разработки: новая поверхность атаки
Параллельно растёт угроза для программных интерфейсов. Корпоративные системы строятся по API-first-подходу, число эндпойнтов множится - и без регулярной инвентаризации забытые интерфейсы могут месяцами торчать в открытом доступе. Для перегрузки ресурсоёмкого API иногда хватает относительно небольшого числа запросов.
Не менее уязвима инфраструктура разработки. Компрометация CI/CD-конвейеров, репозиториев и реестров пакетов даёт атакующим доступ не только к одному продукту, но и ко всей цепочке: клиентам, партнёрам, зависимым системам. В open source-экосистеме почти половина инцидентов (49%) связана со стилерами учётных данных, в 36% случаев цель - получить удалённый доступ через бэкдоры. Уже фиксируются самораспространяющиеся черви в npm и вредоносные инструменты, замаскированные под MCP-серверы для ИИ-ассистентов разработки.
Последствия - это не баг, это остановка бизнеса
Финальная картина выглядит жёстко. В России нарушение основной деятельности стало итогом 75% успешных атак на веб-приложения - против 62% в мировом разрезе. К утечке данных привели 34% российских инцидентов. Чаще всего утекали учётные записи, персональные данные и коммерческая тайна.
Госсектор остаётся главной мишенью: 28% успешных атак на веб-ресурсы пришлись именно на государственные структуры. Среди онлайн-сервисов доля ещё выше - 79% всех инцидентов затронули именно веб-канал. Примечательно, что цифровая уязвимость инфраструктур давно вышла за рамки ИТ-отрасли: в транспортном секторе на веб-ресурсы приходится 38% инцидентов. Матч Португалия - Узбекистан ЧМ-2026 наглядно показывает, как любые крупные публичные события становятся дополнительным магнитом для DDoS-атак на стриминговые и транспортные платформы - именно в моменты пиковых нагрузок атакующие чаще всего давят на веб-ресурсы.
Рекомендация одна: безопасность должна встраиваться в процесс разработки с самого начала, а не проверяться перед запуском в продакшн. SAST- и DAST-сканеры, контроль зависимостей, защита секретов, мониторинг API, анализ поведения пользователей - всё это не опционально. Иначе веб-приложение превращается не просто в цель, а в плацдарм для атак на всех, кто с ним связан.
