2023年互联网现状与安全性(SOTI) 报告.pdf

2023年互联网现状与安全性(SOTI) 报告.pdf

  1. 1、本文档共31页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第 9 卷,第 2 期 [互联网现状] 应用程序和 API 攻击呈上升趋势 钻过安全漏洞:第 9 卷,第 2 期 SOTI 1 目录 2 漏洞频现的一年 4 Web 应用程序和 API 流量分析 14 数字化时代的应用程序和 API 攻击风险: 对不同行业的攻击有何不同 20 留意(安全)缺口: API 攻击研究引发对风险的关注 28 结语和更多建议:填堵边缘缺口 29 方法 30 致谢名单 钻过安全漏洞:第钻过安全漏洞:第 9 9 卷,第卷,第 2 2 期期 SOTISOTI 11 漏洞频现的一年 Log4Shell 和 Spring4Shell 等重大漏洞的出现印证了 Web 应用程序和 API 所带来的严重风 险,也体现出这些威胁面的重要影响。为了加强整体运营,企业依然在积极采用更多 Web 应用程序。平均而言,每家企业使用的应用程序数量已经达到了 1061 个 ,充分体现出这一 攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘,层出不穷的新兴零日漏洞更是 雪上加霜,促使企业比以往更需要加强应用程序安全性,以保护机密数据和安全边界。 2022 年,应用程序和 API 攻击数量创下新高。2021 年末,Log4Shell 爆出后不久,企业就 发现自己四面楚歌,还有其他多个重大漏洞威胁着他们的安全,其中包括:Atlassian Confluence 漏洞 (CVE-2022-26134)、ProxyNotShell 漏洞 (CVE-2022–41040) 和 Spring4Shell/SpringShell (CVE-2022-22965) 等。API 漏洞利用攻击的数量不断增加,即将 发布的新版开放式 Web 应用程序安全项目 (OWASP) API 十大安全漏洞已将 API 漏洞纳入 其中,这表示 API 安全风险已经引起了业界的极大关注。随着攻击频率的激增,攻击的复 杂性也在提高,攻击者在不断“进化”,努力寻找更多新方法来利用这一不断扩大的攻击 面。例如,攻击者团体使用 Web shell (例如 China Chopper )发动高度有针对性的攻击, 比如 Hafnium 团体就曾对美国的国防和教育机构发起过此类攻击。 此外,服务器端模板注入 (SSTI) 和服务器端代码注入有可能导致远程代码执行 (RCE) 和数 据渗漏,给业务带来严重威胁。近期的一个例子是在 VMware Workspace ONE Access and  Identity Manager 中发现的 RCE 漏洞 (CVE-2022-22954) 。在 API 威胁环境中,受损的对象 级别授权是企业的主要顾虑,其原因是多方面的,包括这类漏洞的检测难度大、影响大 (攻击可能造成攻击者获得敏感数据的访问权限)。考虑到多种非传统攻击媒介的使用量 增加,企业有必要升级应用程序和 API 领域的防御机制。 在本期《互联网现状/安全性》(SOTI) 报告中,我们将继续研究我们在 Web 应用程序和 API 领域发现的各类攻击,探索它们对于企业的影响,以及各种漏洞在 API 环境中的定位。我 们的目标是阐明 Web 应用程序和 API 攻击造成的危险,并提供一些针对性建议,帮助您保 护网络,成功抵御此类攻击。 钻过安全漏洞:第 9 卷,第 2 期 SOTI 2 主要研究见解 • 服务器端请求伪造 (SSRF) 攻击是一种新近出现的攻击媒介,给企业带来了重大威 胁。2022 年,Akamai 观察到,针对我们客户 Web 应用程序和 API 的 SSRF 攻击尝试 达到平均每天 1,400 万次,这些攻击可能会导致攻击者入侵企业内部资源。 • 开源软件中的漏洞(如 Log4Shell )以及允许远程代码执行 (RCE) 的 SSTI 技术日渐盛 行。我们预计在未来几年中,这些攻击还会不断增长

文档评论(0)

汀枫 + 关注
实名认证
内容提供者

机械工程师、监理工程师持证人

声明:本账号发布文档部分原创,部分来源于互联网和个人收集,仅用于技术分享交流,版权为原作者所有,如果侵犯了您的知识版权,请提出指正,将立即删除相关资料。留言回复如不及时,请加18651961930

领域认证该用户于2023年08月20日上传了机械工程师、监理工程师

1亿VIP精品文档

相关文档