2023年互联网现状与安全性(SOTI) 报告.pdf

第 9 卷，第 2 期 [互联网现状] 应用程序和 API 攻击呈上升趋势 钻过安全漏洞：第 9 卷，第 2 期 SOTI 1 目录 2 漏洞频现的一年 4 Web 应用程序和 API 流量分析 14 数字化时代的应用程序和 API 攻击风险： 对不同行业的攻击有何不同 20 留意（安全）缺口： API 攻击研究引发对风险的关注 28 结语和更多建议：填堵边缘缺口 29 方法 30 致谢名单 钻过安全漏洞：第钻过安全漏洞：第 9 9 卷，第卷，第 2 2 期期 SOTISOTI 11 漏洞频现的一年 Log4Shell 和 Spring4Shell 等重大漏洞的出现印证了 Web 应用程序和 API 所带来的严重风 险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多 Web 应用程序。平均而言，每家企业使用的应用程序数量已经达到了 1061 个 ，充分体现出这一 攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是 雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。 2022 年，应用程序和 API 攻击数量创下新高。2021 年末，Log4Shell 爆出后不久，企业就 发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：Atlassian Confluence 漏洞 (CVE-2022-26134)、ProxyNotShell 漏洞 (CVE-2022–41040) 和 Spring4Shell/SpringShell (CVE-2022-22965) 等。API 漏洞利用攻击的数量不断增加，即将 发布的新版开放式 Web 应用程序安全项目 (OWASP) API 十大安全漏洞已将 API 漏洞纳入 其中，这表示 API 安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复 杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击 面。例如，攻击者团体使用 Web shell （例如 China Chopper ）发动高度有针对性的攻击， 比如 Hafnium 团体就曾对美国的国防和教育机构发起过此类攻击。 此外，服务器端模板注入 (SSTI) 和服务器端代码注入有可能导致远程代码执行 (RCE) 和数 据渗漏，给业务带来严重威胁。近期的一个例子是在 VMware Workspace ONE Access and  Identity Manager 中发现的 RCE 漏洞 (CVE-2022-22954) 。在 API 威胁环境中，受损的对象 级别授权是企业的主要顾虑，其原因是多方面的，包括这类漏洞的检测难度大、影响大 （攻击可能造成攻击者获得敏感数据的访问权限）。考虑到多种非传统攻击媒介的使用量 增加，企业有必要升级应用程序和 API 领域的防御机制。 在本期《互联网现状/安全性》(SOTI) 报告中，我们将继续研究我们在 Web 应用程序和 API 领域发现的各类攻击，探索它们对于企业的影响，以及各种漏洞在 API 环境中的定位。我 们的目标是阐明 Web 应用程序和 API 攻击造成的危险，并提供一些针对性建议，帮助您保 护网络，成功抵御此类攻击。 钻过安全漏洞：第 9 卷，第 2 期 SOTI 2 主要研究见解 • 服务器端请求伪造 (SSRF) 攻击是一种新近出现的攻击媒介，给企业带来了重大威 胁。2022 年，Akamai 观察到，针对我们客户 Web 应用程序和 API 的 SSRF 攻击尝试 达到平均每天 1,400 万次，这些攻击可能会导致攻击者入侵企业内部资源。 • 开源软件中的漏洞（如 Log4Shell ）以及允许远程代码执行 (RCE) 的 SSTI 技术日渐盛 行。我们预计在未来几年中，这些攻击还会不断增长