В 2025 году в России резко увеличилось количество атак на веб-интерфейсы компаний с использованием техники XSS — межсайтового скриптинга. По последним оценкам, почти половина всех попыток взлома за первый квартал года пришлась именно на этот тип атак.

XSS позволяет злоумышленникам внедрять вредоносные скрипты на страницы веб-приложений, в результате чего данные пользователей (логины, пароли, банковские реквизиты) перехватываются, а интерфейс сайта может быть подменён. Особую активность эксперты зафиксировали в сегментах онлайн-торговли, логистики и авиаперевозок, где особенно часто обрабатываются платёжные данные и персональная информация.

Угроза стала ещё актуальнее на фоне цифровизации бизнеса: компании активно отказываются от мобильных приложений в пользу веб-сервисов, экономя на разработке и снижая порог входа для пользователей. Но вместе с этим многие организации экономят и на информационной безопасности — и именно это создаёт идеальные условия для хакеров.

Дополнительным стимулом для внедрения мер защиты должны стать грядущие законодательные изменения. С 30 мая вступают в силу штрафы до 15 млн рублей за первую утечку персональных данных, а при повторном инциденте компаниям грозят оборотные санкции в размере до 3% от годовой выручки.

Впрочем, как отмечают специалисты, только законодательными мерами проблему не решить. Корень зла — в недостаточном уровне безопасности при проектировании и разработке веб-приложений. Пока компании не начнут учитывать защиту на всех этапах создания продуктов, XSS и аналогичные атаки останутся головной болью как для бизнеса, так и для пользователей.