《Akamai：应用程序和 API SOTI 报告（31页）.pdf》由会员分享，可在线阅读，更多相关《Akamai：应用程序和 API SOTI 报告（31页）.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、钻过安全漏洞：第 9 卷，第 2 期 SOTI1互联网现状第 9 卷，第 2 期应用程序和 API 攻击呈上升趋势钻过安全漏洞：第 9 卷，第 2 期 SOTI1目录漏洞频现的一年Web 应用程序和 API 流量分析 数字化时代的应用程序和 API 攻击风险：对不同行业的攻击有何不同留意（安全）缺口：API 攻击研究引发对风险的关注结语和更多建议：填堵边缘缺口方法致谢名单2414202829301钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI2漏洞频现的一年 Log4Shell 和 Spring4Shell 等重大漏洞的出现印证了 Web 应用程序

2、和 API 所带来的严重风险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多 Web 应用程序。平均而言，每家企业使用的应用程序数量已经达到了 1061 个，充分体现出这一攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。2022 年，应用程序和 API 攻击数量创下新高。2021 年末，Log4Shell 爆出后不久，企业就发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：Atlassian Confluence漏洞(CVE-2022-26134)、

3、ProxyNotShell 漏洞(CVE-202241040)和 Spring4Shell/SpringShell(CVE-2022-22965)等。API 漏洞利用攻击的数量不断增加，即将发布的新版开放式 Web 应用程序安全项目(OWASP)API 十大安全漏洞已将 API 漏洞纳入其中，这表示 API 安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击面。例如，攻击者团体使用 Web shell（例如 China Chopper）发动高度有针对性的攻击，比如 Hafnium团体就曾对美国的国防和教育

4、机构发起过此类攻击。此外，服务器端模板注入(SSTI)和服务器端代码注入有可能导致远程代码执行(RCE)和数据渗漏，给业务带来严重威胁。近期的一个例子是在VMwareWorkspaceONEAccessandIdentityManager中发现的 RCE 漏洞(CVE-2022-22954)。在 API 威胁环境中，受损的对象级别授权是企业的主要顾虑，其原因是多方面的，包括这类漏洞的检测难度大、影响大（攻击可能造成攻击者获得敏感数据的访问权限）。考虑到多种非传统攻击媒介的使用量增加，企业有必要升级应用程序和 API 领域的防御机制。在本期互联网现状/安全性(SOTI)报告中，我们将继续研究我们

5、在 Web 应用程序和 API 领域发现的各类攻击，探索它们对于企业的影响，以及各种漏洞在 API 环境中的定位。我们的目标是阐明 Web 应用程序和 API 攻击造成的危险，并提供一些针对性建议，帮助您保护网络，成功抵御此类攻击。钻过安全漏洞：第 9 卷，第 2 期 SOTI3 服务器端请求伪造(SSRF)攻击是一种新近出现的攻击媒介，给企业带来了重大威胁。2022 年，Akamai观察到，针对我们客户 Web 应用程序和 API 的 SSRF 攻击尝试达到平均每天 1,400 万次，这些攻击可能会导致攻击者入侵企业内部资源。开源软件中的漏洞（如 Log4Shell）以及允许远程代码执行(R

6、CE)的 SSTI 技术日渐盛行。我们预计在未来几年中，这些攻击还会不断增长，建议企业采取相应的防护措施。2022 年，随着物联网(IoT)通信的蓬勃发展，以及从制造业设备中收集到的数据愈发惊人，这使得针对制造业发起的攻击数量中位数增加了 76%。针对此行业内运营技术(OT)实施的网络攻击频频得手，带来了供应链问题等现实影响。在医疗领域，医疗物联网(IoMT)的采用扩大了该垂直行业的攻击面，给攻击者创造了通过漏洞发起攻击的机会。2022 年，这个行业的攻击数量中位数增加了 82%。API 研究得出的见解包括：拟议的新版 OWASP API 十大安全漏洞强调了 Web 应用程序与 API 之间的

7、攻击媒介差异。以 API 业务逻辑为导向的 API 攻击非常复杂，很难在个别请求层面上检测和抵御。需要提前建立相关认知，例如具体业务逻辑，以及每位用户可访问的资源。主要研究见解3钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI4Web 应用程序和 API 流量分析Web 应用程序凭借易访问性、效率和可扩展性成为企业的一股中坚力量，帮助企业获得了更多收入。从网络犯罪分子的角度来看，他们总是“跟着钱走”，寻找一切机会去实现自己的最终目标。Akamai始终在监控和观察这些攻击的大规模增长和频率（图 1），在之前发布的威胁报告中，我们已经分享了相关信息。4D

8、aily Web Application AttacksJanuaryDecember 2021 vs.JanuaryDecember 2022Fig.1:Year over year,web application attacks show an upward trend with several spikes in between,possibly indicating sporadic campaigns1 亿1.5 亿5000 万02022 年2021 年4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月攻击数量1 月图 1：Web 应用程序攻击数量呈现年同

9、比上升趋势，中间有数个高峰，可能表明零散的攻击活动每日 Web 应用程序攻击数量 2021 年 1 月至 12 月与 2022 年 1 月至 12 月的对比钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI5攻击者不断优化攻击方法，相应地，Web 应用程序和 API 防御也必须不断加强检测能力，从而缓解攻击者不断“进化”的攻击手段带来的风险。2022 年，Akamai发布了全新的 AkamaiApp&APIProtector 产品，加强了攻击检测能力。攻击数量的激增也让我们确定了更多攻击流量，其增幅约为 250%。但这并不是Akamai第一次看到 We

10、b 应用程序和 API 攻击的这种急剧增加。早在 Log4Shell 和 Spring4Shell 等重大漏洞兴起，并给全球各行各业（如科技公司等）造成大规模数据泄漏之前，Web 应用程序和 API 攻击就已经在急剧扩增。此外，这些漏洞加剧了企业面临的风险，进一步强调了确保应用程序安全的重要性。图 1 还展示了每日攻击流量的高峰和低谷。不过我们偶尔也会看到一些明显的高峰（图 2），这可能表明针对一家大型企业或多家Akamai客户发起的大规模攻击活动。2022 年 4 月，我们在一天的时间内看到了 1.35 亿次攻击；同年 7 月，我们在一天内观察到 1.36 亿次攻击。在我们遭遇的攻击中，还有

11、 1.61 亿次攻击于 2022 年 10 月 8 日开始，于 2022 年 10 月 9 日达到高峰。这些攻击有可能是大爆炸式攻击活动，其中针对企业的攻击活动量可达到正常情况的 30 倍以上。Fig.2:We observed three significant spikes in 2022(April 2,July 28,and October 9),which could indicate big-bang cam-paigns against one or several companiesDaily Web Application AttacksJanuary 1,2022 Dece

12、mber 31,20221 亿1.5 亿5000 万07 天平均值每日攻击数量2022 年 4 月2022 年 3 月2022 年 1 月2022 年 2 月2022 年 5 月2022 年 6 月2022 年 7 月2022 年 8 月2022 年 9 月2022 年 10 月2022 年 11 月2022 年 12 月2023 年 1 月攻击数量2022 年 4 月 2 日134,971,2632022 年 7 月 28 日 135,762,3822022 年 10 月 9 日 160,785,750图 2：2022 年，我们观察到三次明显的高峰（4 月 2 日、7 月 28 日和 10

13、月 9 日），这可能是针对一家或几家公司的大爆炸式攻击活动每日 Web 应用程序攻击数量 2022 年 1 月 1 日2022 年 12 月 31 日钻过安全漏洞：第 9 卷，第 2 期 SOTI6有两个重要因素促成了这种增长。首先，越来越多的企业依靠应用程序和 API 来改进客户体验、助推业务发展，这使得应用程序开发生命周期需要缩短在生产环境中创建和部署此类应用程序的周期，因而可能导致代码不够安全。在 EnterpriseStrategyGroup(ESG)调查中，有 48%的受访企业表示，由于时间限制，他们将存在漏洞的应用程序发布到了生产环境，将网络置于风险之中。其次，漏洞数量在增加，每

14、10 个漏洞中就有 1 个是在面向互联网的应用程序中发现的“高风险”或“重大”类别的漏洞。此外，2018 年至 2020 年期间，Log4Shell 等开源漏洞的数量增加了一倍。我们的金融服务业相关报告兵临城下：针对金融服务领域的攻击分析强调，在新漏洞披露后的 24 小时内，我们开始看到有关这些漏洞的利用尝试。由于这两大因素，API 和应用程序被攻击者利用的时机已经成熟。对于 Web 应用程序和 API 攻击量增长，推动作用最明显的攻击媒介是 LFI，攻击者主要将其用于侦察或扫描存在漏洞的目标。在某些情况下，实施 LFI 漏洞利用攻击可能暴露关于任何应用程序的信息，造成目录遍历攻击，攻击者可借

15、此获得日志文件数据，从而侵入网络 中更深入的部分。（在下一部分中，我们将更深入地分析这一媒介及其他普遍存在的攻击 媒介。）考虑到这些攻击的速度和规模，企业不但要完成内部分段和补丁安装，还有必要具备在边缘拦截这些攻击的能力。由于应用程序为数众多，您还需要良好的资源清册。了解攻击面及其具有哪些对应的安全控制措施至关重要。如今有许多公司都在整理“软件材料清单”，目的就是准确分析任何零日漏洞的潜在影响。接下来，您还需要 Web 应用程序和 API 防护(WAAP)这样的工具，理想的工具应该能随着新攻击变体的出现实时更新对新威胁的应对 措施。最后，您需要制定相应流程来验证确实有效的防御措施，包括渗透测试

16、和日志分析 在内。在有新攻击媒介初露端倪时，只要有可能影响到企业，您就应该仔细加以考察。通过了解这些新攻击媒介，您就可以为未来的攻击面做好充分准备。钻过安全漏洞：第 9 卷，第 2 期 SOTI72023 年需要留意的攻击媒介通过研究，我们探索了攻击者在攻击的位置、生成这些攻击的方式，以及他们选择执行的具体攻击。在有新攻击媒介初露端倪时，只要有可能影响到企业，您就应该仔细加以考察。了解新攻击媒介可以帮您做好准备，应对未来可能出现的攻击面，这也是企业保护自身网络的方法。如图 3 所示，LFI 攻击目前在大幅增加，年同比增幅达到 193%。也就是说，相较于 2021 年，攻击数量激增 2 倍之多，

17、先前排名靠前的跨站点脚本攻击(XSS)和 SQL 注入(SQLi)这两种攻击媒介均已落于 LFI 攻击之后。LFI 攻击可能会给企业造成不利影响攻击者利用 LFI 在目标网络中获得立足点，或是通过 RCE 向 Web 服务器注入恶意代码，从而破坏其安全机制。在最糟糕的情况下，LFI 攻击可能将敏感信息暴露给攻击者。注意：LFI 攻击数量的增加意味着攻击者已经成功利用它发起过攻击，所以您应该优先开展测试，判断自己的系统中是否存在漏洞。在攻击者利用文件访问权限验证或处理的漏洞发起攻击时，就会发生 LFI 攻击。我们发现，基于 PHP 的网站普遍存在 LFI 漏洞，80%的网站在服务器端使用这种编程

18、语言。我们连年看到大量攻击，这并不令人意外。相关数据泄露报告称，3 亿用户帐户外泄的事件可追溯到 LFI 攻击上。Fig.3:LFI remains the top attack vector as attackers look for ways to infiltrate their intended targets Top Web Attack VectorsJanuaryDecember 2021 vs.JanuaryDecember 20222021 年2022 年50 亿0100 亿150 亿200 亿LFIXSSSQLiPHPi恶意文件上传RFICMDiOGNLi2021 年与 2

19、022 年的攻击数量总数对比图 3：在攻击者寻找入侵预定目标的方法时，LFI 依然是首选攻击媒介 主要 Web 攻击媒介 2021 年 1 月至 12 月与 2022 年 1 月至 12 月的对比钻过安全漏洞：第 9 卷，第 2 期 SOTI8无独有偶，XSS 让攻击者可以在攻击目标的网络中获得立足点，而非获得数据库访问权限。就在几年前，SQLi 还是 Web 应用程序和 API 攻击中的主导性攻击媒介，在 2021 年的 OWASP 名单中，它是三大 Web 应用程序攻击之一。SQLi 攻击一旦得手，攻击者往往能获得公司的机密信息访问权限，比如客户数据。企业需要警惕这些流行的攻击媒介可能造成

20、的后果，以及攻击者对于这些媒介的利用方式。仔细审视新攻击媒介及其对企业的潜在影响至关重要。Akamai坚信企业应当使用诸如ZeroTrust分段之类的框架，以尽可能降低可成功获得访问权限的 LFI 攻击的影响，并将网络击杀链与 MITREATT&CK相结合，分析和衡量企业安全计划的成熟度。新兴攻击媒介体现出向 RCE 演进的形势随着漏洞利用攻击的频率持续增加，攻击者在不断“演进”攻击手段、技术和过程(TTP)，以提高其影响力。在本部分中，我们将审视过去一年中遇到的一些不同以往、新近兴起并且高度危险的攻击技术。了解这些逐渐盛行的攻击对于准备未来安全防护措施意义非凡。我们希望帮助企业了解网络犯罪分

21、子如何滥用以下这些攻击媒介，以便制定相应的抵御策略，为下一个达到 Log4Shell 级别或下一个主导性的攻击媒介做好准备。服务器端请求伪造(SSRF)服务器端模板注入(SSTI)服务器端代码注入8钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI9Hafnium 滥用 SSRF，对成千上万的企业发起了攻击2021 年 3 月，CVE-2021-26855（CVSS 评分：9.1）披露，SSRF 获得高度关注，安全研究人员 Orange Tsai 称之为“ProxyLogon”。在Microsoft发布安全补丁解决MicrosoftExchange服务

22、器中这一关键 SSRF 漏洞之前，网络犯罪团伙 Hafnium利用此漏洞发起了攻击，受影响的企业数量估计达到 6 万家。该攻击者团伙利用此漏洞对 Web 服务器运行命令，从而破坏其安全机制。由于 SSRF 的影响引起高度关注，此媒介后续被添加到 9 月发布的“2021 年 OWASP 十大安全漏洞”中，位列第十。攻击者通常利用 SSRF 漏洞来获取敏感信息或执行命令。如需进一步了解 SSRF 工作原理，请参阅这篇文章。对于MicrosoftExchange中的 SSRF 漏洞，近期的例子有：ProxyNotShell结合了 CVE-2022-41040（CVSS 评分：8.8）和 CVE-20

23、21-41082（CVSS 评分：8.8）OWASSRFCVE-2022-41080（CVSS 评分：8.8）在过去两年间，Akamai观察到攻击尝试和获得授权的漏洞扫描流量（其目的是寻找MicrosoftExchange以外的软件中的 SSRF 漏洞）都在稳步增长。GitHub上的SSRFmap 等开源工具助长了此类扫描活动。我们还观察到，探测我们App&APIProtector客户的 Web 应用程序和 API 的 SSRF 尝试平均每天达到 1,400 万次，表明了这种攻击媒介的普遍程度在不断提升。这种增长以及 SSRF 利用给企业带来的潜在影响值得 关注。SOTI9钻过安全漏洞：第 9

24、 卷，第 2 期 SOTI10SSTI：攻击者青睐的零日攻击技术Log4Shell 漏洞、AtlassianConfluence漏洞(CVE-2022-26134)和 Spring4Shell 漏洞(CVE-2022-22965)是近年来影响重大的三个漏洞，它们都影响到了各行各业和整个互联网上的成千上万家企业，而且它们都属于 SSTI。在系统通过不安全的方式将用户输入嵌入模板时，就会出现 SSTI 漏洞，并导致服务器上的 RCE。Akamai研究人员观察到，攻击者使用这些技术执行各种系统级命令和带外互动，从而探测并检查是否有可能实施数据渗漏。在一些个例中，攻击者利用这些漏洞实施了 RCE。但有

25、些攻击者喜欢在各种高级持续威胁(APT)攻击活动中使用多个 Web shell，例如简单的反弹 shell、China Chopper 和Behinder。（我们将在后续有关 Web shell 的部分中进一步探讨这个话题。）这些恶意文件一旦上传，攻击者会择机利用简单的 GET 请求予以调用（图 4），如果恶意文件存放在可以运行cron作业的特定文件夹中，则可以在某个特定的实例中执行。图 5 展示了攻击负载在 POST 请求中的表现形式。SSTI 威胁看起来或许有些像简单的 RCE 漏洞，但确实需要密切留意。在互联网上存在公开可用的漏洞利用、攻击负载非常简单，这些特点提高了攻击者利用这种漏洞的

26、可行性。我们估计，由于 SSTI 的潜在影响和损害，未来它仍将构成重大威胁。建议企业制定包含 Web 应用程序防火墙的安全策略，以防范此类漏洞利用。有必要指出，Log4Shell 和 Spring4Shell 都是在开源工具中发现的漏洞。开源技术的初衷是让人人都能轻松获得源代码，通过合作打造出色的工具、框架和软件，但它也可能成为漏洞利用的渠道。攻击者都在密切关注潜在安全漏洞，探索在攻击中加以利用或将其用作入图 4：GET 请求及负载(Spring4Shell)图 5：POST 请求及负载(Spring4Shell)钻过安全漏洞：第 9 卷，第 2 期 SOTI11侵攻击目标的敲门砖的可能性。因

27、此，防御者或漏洞研究人员需要和时间赛跑，赶在攻击者实际将漏洞用于攻击之前开发出修补程序，创建概念验证漏洞。由于目前还没有更安全的流程，防御者需要认识到开源软件的这个方面，并采取修补以外的策略来防范零日漏洞。同样，正因如此，目前企业有开发“软件材料清单”、收紧第三方代码审核的趋势。服务器端代码注入导致 RCE服务器端代码注入又称为“服务器端包含攻击”，攻击者会利用 Web 应用程序或服务器，在 HTML 页面中注入并远程执行代码或脚本。这使得攻击者可以执行 shell 命令，并获得敏感信息（如用户名和密码）的访问权限。攻击者经常利用用户输入字段强行使用此类攻击。攻击要想得手，前提条件是 Web

28、服务器未经适当验证就允许服务器端代码注入。而这会导致攻击者访问和操纵文件系统，还有可能让攻击者通过 Web 服务器进程所有者将其登记为已获准。根据Akamai研究人员的观察，NodeJS中的服务器端代码注入激增，并且NodeJS的使用量近期一直呈上升趋势。攻击者可能会滥用这些漏洞，在存在漏洞的服务器上运行远程代码，这可能会导致反弹 shell 和任意文件读取等问题（图 6）。图 6：允许攻击者读取/etc/passwd 文件的漏洞利用攻击代码示例，该文件中包含 NodeJS 服务器上用户的敏感信息钻过安全漏洞：第 9 卷，第 2 期 SOTI12攻击者在 APT 攻击活动中利用 Web she

29、llWeb shell 允许攻击者通过简单而有效的方式与 Web 服务器进行交互。与普通 shell 相比，使用 Web shell 的通信依赖于 Web 端口，因此隐蔽性更强，这让它成为对攻击者颇具吸引力的攻击手段。它们允许攻击者创建 Web 服务器后门，从而实现远程控制，危险程度极高。此外，它们还可以让攻击者横向移动以访问内部网络。较为盛行的 Web shell 有：China Chopper Web shell 和BehinderWebshell。China Chopper 由两部分组成。第一部分是客户端，这是一个可执行文件，用来与受到攻击的 Web 服务器内的实际 Web shell

30、通信。第二部分是 Web shell，它可能采用 PHP 文件的形式。它具有图形用户界面和许多命令和控制功能，如密码暴力破解攻击、文件管理和代码混淆。有消息称，此 Web shell 曾用于发起定向攻击。Behinder 具有类似的功能，而且额外增加了加密通信。由于这样的补充，再加上它属于内存 Web shell，这种 shell 更难发现。优秀的 WAAP/WAF 应该能够检测和抵御像 China Chopper 和Behinder这样的 Web shell。此外，它应该具有自动更新、在生产环境中测试和自动拦截的功能。安全控制措施还应提供分析，生成工件以便向领导层和审计师汇报 工作。HTTP

31、 请求盗取 攻击者可通过多种方式利用请求盗取攻击，包括访问敏感数据、污染缓存的内容，甚至是执行大规模 XSS。由于安全研究人员 JamesKettle 的杰出工作，近年来 HTTP 请求盗取（HRS，也称为 HTTP 不同步攻击）再次成为安全研究热点。他在 2019 年黑帽会议上做了一次关于 HTTP 不同步攻击的演讲，公布了不同 HTTP 标准实现的漏洞，特别是代理服务器和内容交付网络(CDN)内的漏洞。这些实现对于代理服务器解析 Web 请求结构的方式有所不同，造成了新的请求盗取漏洞。如需进一步了解 HRS 的工作原理，请阅读 CAPEC 的这篇文章。钻过安全漏洞：第 9 卷，第 2 期

32、SOTI13RFC 指明，在处理请求时，Transfer-Encoding标头必须先于 Content-Length 标头。代理服务器实现的语义差异导致 HTTP 不同步攻击场景中出现这种攻击。了解有多少 CDN 处理转发到客户网站的流量非常重要；能为解析顺序的重要性提供背景。CDN 服务器还必须维护来自前端客户端的请求/响应数据与所返回数据之间的映射关系。在 HRS/不同步攻击中，由于系统返回了额外的响应内容，并且没能将这些响应内容正确映射到前端客户端的请求，这种映射会被破坏（图 7）。为了在平台层面上防范这种攻击，Akamai更新了 Global Host(Ghost)平台，以符合 RFC

33、 2616 规范的合规标准，确保Transfer-Encoding标头优先。此外，WAAP/WAF 应遵守 RFC 7230 中与标头解析有关的规定，并应检测其是否符合如下条件：标头没有以“rn”结尾 标头不包含冒号“:”标头无名称使用符合行业标准的工具始终是最佳实践。后端前端图 7：不同步攻击的原理（来源：Portswigger）13钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI14数字化时代的应用程序和 API 攻击风险：对不同行业的攻击有何不同 COVID-19 疫情促使各行各业加紧实施数字化转型，以此来适应要求业务连续性的时代。在 2020

34、 年之前，已有几个行业实现了数字化，但一直到 COVID-19 疫情爆发期间，所有行业（不论规模大小）才不约而同地开始实施数字化。这些企业匆忙实施在线服务和流程，可能未考虑到数字策略的正确实施，因此出现了安全漏洞。这进一步扩大了企业的风险暴露面。一份报告显示，82%的 IT 高管指出，其企业在引入新技术时遭遇过一次或两次数据泄露。在本部分中，我们将研究关键行业和趋势，以及网络犯罪分子有可能如何将 Web 应用程序和 API 攻击用作入侵企业的途径。大多数行业遭受攻击的频率都出现增长，而商业、高科技和金融服务行业则首当其冲（图 8）。Fig.8:The top verticals impacte

35、d by web application and API attacks are commerce,high tech-nology,and financial servicesTop Web Attack VerticalsJanuaryDecember 2021 vs.JanuaryDecember 202210%0%20%30%40%高科技商业金融服务制造其他数字媒体视频媒体公共部门游戏社交媒体商业服务制药/医疗博彩非营利组织/教育机构其他2021 年与 2022 年的攻击数量总数对比2021 年2022 年图 8：商业、高科技和金融服务是受 Web 应用程序和 API 攻击影响最为严重

36、的垂直行业Web 攻击数量排名靠前的垂直行业 2021 年 1 月至 12 月与 2022 年 1 月至 12 月的对比钻过安全漏洞：第 9 卷，第 2 期 SOTI15对于中位数数据集的研究固然存在自己的偏差，但提供了不同的视角（图 9）。它为我们勾勒出一幅不同的景象，让我们得以了解个别行业在攻击方面所经历的情况。例如，我们看到，2022 年针对制造业的攻击数量超过了高科技和金融服务业，这与我们之前在新一期的 SOTI 报告攻击快车道：深入了解恶意 DNS 流量及全球勒索软件报告中的发现相呼应。Fig.9:Median attacks demonstrate a different depi

37、ctionon the range of attack frequency in verticalsTop Web Attack Verticals MedianJanuary 1,2022 December 31,2022 10 万020 万30 万高科技商业金融服务制造其他数字媒体视频媒体公共部门游戏社交媒体商业服务制药/医疗博彩非营利组织/教育机构攻击数量2021 年2022 年图 9：攻击数量中位数从不同的视角展示了各垂直行业中的攻击频率范围 Web 攻击数量排名靠前的垂直行业中位数 2022 年 1 月 1 日至 2022 年 12 月 31 日15钻过安全漏洞：第 9 卷，第 2

38、期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI16商业：LFI 在旅游和酒店业中的起起落落Akamai的旅游和酒店业子垂直行业数据表明，这些客户面向 Web 资产的应用程序和 API 遭遇过大量攻击。Akamai的数据反映了 2022 年 1 月 LFI 攻击量的激增(107%)，是前一个月商业领域中更广泛趋势的延续，促使此类攻击远超之前的主要攻击媒介 SQLi（图 10）。在 2022 年全年，LFI 攻击活动水平持续居高不下。将 2022 年第三季度与 2021 年第三季度相比，LFI 攻击活动数量的增幅超过 300%。LFI 成为更多攻击者的首选攻击媒介，这种整体趋势或许体现

39、出攻击者不再希望仅依靠 SQLi 实施数据渗漏攻击（在针对商业领域的 WAF 攻击中，此类攻击一度占到大约 79%的比例），而是改为使用 LFI 来滥用 Web 应用程序中的漏洞，暴露 Web 服务器上的敏感文件，这可能引发目录遍历攻击。LFI 也可用于攻击链，促成 XSS 或 RCE。如前所述，攻击者也许在借着因新冠疫情引发部署新应用程序和技术的急迫性，来搜索可利用的 LFI 漏洞和其他安全缺口。另一个促成因素或许是容器化环境的迅速扩增，这些环境可能在运行较旧的映像，更容易受到采用较旧方法的攻击，例如缓冲区溢出，从而增加 LFI 扫描请求。Fig.10:A view of top attac

40、k vectors in the commerce industry from 2019 to the present shows the the rise and fall of LFI,XSS,and SQLi Top 3 Daily Web Application Attack Vectors CommerceJanuary 1,2019 January 1,20235 亿7.5 亿10 亿2.5 亿0SQLiXSSLFI2020 年 1 月2019 年 1 月2021 年 1 月2022 年 1 月2023 年 1 月攻击数量图 10：从 2019 年到 2023 年初，针对商业领域的

41、主要攻击媒介的视图，表明了 LFI、XSS 和 SQLi 攻击的起落情况单日 Web 应用程序攻击数量排名前三的攻击媒介商业 2019 年 1 月 1 日至 2023 年 1 月 1 日钻过安全漏洞：第 9 卷，第 2 期 SOTI1717金融服务业越来越多的金融机构实现数字化，积极采纳改变游戏规则的举措来扩大业务范畴，如开放银行服务、银行业务即服务和不断增长的嵌入式金融市场，API 已成为对于金融机构有着重大意义的强大工具。JuniperResearch表示，近年来，嵌入式金融解决方案在全球范围内得到了重视，到 2027 年可以稳稳产生高达 1830 亿美元的收入。一项针对中小型企业的全球调

42、查表明，近 50%的中小型企业表示对嵌入式金融产品感兴趣，并已很少使用传统银行服务。嵌入式金融服务提供商可以获得高达 250 亿美元的收入。这个发展方向确实为银行和其他金融机构带来了增长机会，但同时也带来了风险。在我们 2022 年的最后一期 SOTI兵临城下：针对金融服务业的攻击分析中，我们发现针对金融服务的 Web 应用程序和 API 攻击数量激增 3.5 倍，表明了攻击者对该行业及其客户的兴趣持续增长。随着金融服务的攻击面不断扩大，我们建议安全领域从业者了解其风险暴露情况，并据此制定抵御策略。我们还建议缩小攻击面、加强环境感知，以降低应用程序和 API 攻击造成的风险。关于金融服务机构的

43、更多安全建议，请阅读Akamai博客文章：近期研究给金融服务业带来的 7 个重要启示。17SOTI17钻过安全漏洞：第 9 卷，第 2 期 SOTI18制造业 尽管制造商要应对的 API 请求数量和规模通常比不上直接面向消费者的垂直行业（例如零售业），但攻击事件的影响可能会非常严重。2022 年的攻击数量中位数急剧上升令各大企业如鲠在喉。过去，工业控制系统是独立式硬件和软件系统，除了设备的个别部件或工厂本身之外，彼此间几乎没有联系。如今，不论是物联网连接数量，还是从生产设施的各类设备中收集的数据量都呈现激增之势，访问来自这些设备的数据的请求也不断增加。这些数据的用途包括供应商管理、库存管理、生

44、产流程优化、销售和订单管理等。随着这些连接的出现，针对这些 OT 的漏洞发起网络威胁的 风险也在增加。利用 OT 数据的应用场景不断扩增，参与其访问、处理、分析和使用的非 OT 系统的数量随之增加。这形成了一种趋势，制造商正在整合其应对 IT/OT 综合威胁的策略和响应措施，以适应两个世界逐渐交融的现状。尤为值得关注的是利用勒索软件的攻击者，以及希望掌握相应能力，通过影响公共事业、管线、炼油厂、水厂、交通运输网和其他关键民用基础设施等基本服务的交付来扰乱社会的境外民族国家的威胁。如果说图 9 中针对制造商的 Web 攻击数量中位数激增带给我们什么启迪，那就是这个行业需要立即着手加强防御 措施。

45、SOTI18钻过安全漏洞：第 9 卷，第 2 期 SOTI19医疗/制药业IoMT 的兴起是医疗行业的重要进步之一，它将医疗相关应用程序和设备连接起来，让医生与患者能通过网络实时获取信息。目前的一间病房中平均大约有 15 至 20 台联网医疗设备，包括智能病床、胰岛素泵和呼吸机。IoMT 技术确实给患者、医疗服务提供商和医生带来了新的机会和高效、无缝的体验，但同时也扩大了这个领域的攻击面。使用第三方应用程序和供应商会造成的安全漏洞，而攻击者可能利用这些第三方的漏洞发动攻击。许多医疗服务提供商都在使用大量传统系统、高度联合的系统，现在还在整合 IoMT 数据，因此，强大的分段技术和数据流监测变得

46、非常重要。患者安全至关重要，不容有失。医疗机构一旦被入侵，可能会引发无数恶果，比如机密的患者信息和医疗记录丢失、运营和声誉蒙受重大损害等等。美国有数项医疗法规，包括拟议的2022 年医疗服务网络安全法，其中规定了医疗服务提供商在网络安全方面需要优先考虑的准则，并就如何保护医疗设备和电子病历提供了一些策略建议。领导层会向 CISO 提出的一个关键问题是：“我们公司的网络安全风险比其他公司如何？”关于行业趋势的这个部分提供了一些与此相关的必要数据，可以帮您有理有据地探讨贵公司与其他行业和同行相比较的排名。SOTI19钻过安全漏洞：第 9 卷，第 2 期 SOTI20留意（安全）缺口：API 攻击研

47、究引发对风险的关注OWASP 将 API 攻击纳入候选名单（其十大攻击排名的草案），这是行业朝着专门关注 API 的方向迈出的重要一步，突破了以往侧重于应用程序的思路，强调了 API 威胁的独特性质（图 11）。提到 API 的性质，有必要指出一个基本要点：其保护颇具难度，针对 API 发起的攻击可能相当复杂。为了充分实施保护，您需要了解 API 的内部业务逻辑，因为每一家客户的 API 内部业务逻辑都可能有所不同，安全解决方案可能需要更高水准的计算产品。OWASP 强调了 API 安全中的几个关键思路，包括：不应信任第三方和内部服务；云环境、容器和Kubernetes应纳入 API 安全领域

48、（就概括的层面而言），而且对于 URL 传递(SSRF)的高风险有所影响。本部分将探讨列入前五位的几种 API 攻击（对象、属性、身份验证和授权）。我们先来看一下 API 授权的复杂性质，以及识别和测试错误的 API 逻辑造成的漏洞时的难度。Fig.11:The proposed new Top 10 includes more API-specific attacks and emphasizes authorization issues(four of the top five attacks)201920231234567891012345678910受损的对象级别授权受损的用户身份验证

49、数据泄露过多缺乏资源和速率限制受损的功能级别授权批量分配安全配置错误注入不当的资产管理日志记录和监控不足受损的对象级别授权受损的身份验证受损的对象属性级别授权不受限制的资源消耗受损的功能级别授权服务器端请求伪造安全配置错误缺乏对自动威胁的防范资源清册管理不当API 的使用不安全图 11：新拟议的“十大安全漏洞”中包含更多与 API 相关的攻击，并着重强调了授权问题（在前五大攻击中占据四席）2019 2023钻过安全漏洞：第 9 卷，第 2 期 SOTI21受损的对象级别授权 在 OWASP API 十大安全漏洞中，受损的对象级别授权(BOLA)是排名第一位的 API 漏洞。容易遭受 BOLA

50、攻击的 API 让攻击者能操纵 API 请求内发送的对象 ID，从而在未经授权的情况下获得敏感数据的访问权限。例如，某个不具备特权的用户通过这种方式访问、更新或删除了另一位用户的数据，这就可以视为 BOLA 攻击（图 12）。BOLA 被视为高风险攻击。一旦攻击者成功利用了这种攻击手段，就能访问其他用户的信息，例如其存储的个人身份信息。不同于加密破解或自动化/程序化攻击（如分布式拒绝服务和撞库）等技术性更强的攻击不同，BOLA 攻击与应用程序逻辑的缺陷有关。在攻击中利用 BOLA 相对比较简单，但要检测它十分艰难。BOLA 请求与合法流量非常相似，很难从恶意请求中区分出这类请求。要检测 BOL

51、A 攻击，防御者需要预先了解应用程序的业务逻辑和每个用户可访问的资源。检测逻辑必须区分资源和用户之间的一对一连接和一对多连接。事后 BOLA 攻击很难发现，因为其攻击量极低，不会表现出明显的行为异常迹象，比如注入或拒绝 服务。GET/account/BOLA 攻击GET/account/GET/account/AliceAlice 的帐户EveEve 的帐户图 12：正常请求对比 BOLA 攻击钻过安全漏洞：第 9 卷，第 2 期 SOTI22重点检测 JSON Web 令牌中受损的身份验证例如，API 身份验证可验证用户的身份，或确认帐户访问者是不是获得授权的用户。但如果 API 身份验证中

52、存在漏洞，会发生什么情况？攻击者可以滥用它来劫持用户的帐户信息，将其数据置于风险之中。本部分将介绍受损的身份验证，这是 OWASP API 攻击名单中排名第二位的攻击。API 中的一种标准身份识别方法是JSONWeb令牌(JWT)。我们会深入探索Akamai的流量，并介绍一些常见应用场景和几个已知漏洞，帮您更好地了解其潜在风险。Akamai 流量调查 JWT通常带有签名，但这并不表示它们经过加密；签名只是用来验证内容未经篡改或修改。已知用于为JWT签名的算法有 HS256（使用 SHA256 的 HMAC）和 RS256（使用 SHA256 的 RSA）等。我们的数据流量表明，大多数(55%)

53、的 API 请求采用 HS256 算法来为其相关 JWT进行签名和验证，RS256 的使用比例紧随其后（26%；图 13）。HS256 是一种对称算法，使用一个密钥来验证和生成签名。RS256 的非对称算法要求使用私钥和公钥。Fig.13:Most of Akamais customers use HS256 JWT authentication,followed by RS256JWT AlgorithmsRS25626.1%HS25654.8%HS5125.2%ES5120.8%ES2565.2%RS5127.9%图 13：大多数 Akamai 客户使用 HS256 JWT 身份验证，其次

54、是 RS256JWT 算法钻过安全漏洞：第 9 卷，第 2 期 SOTI23对称算法的使用率要高于非对称算法，这有些令人意外，原因或许出于我们的客户对系统复杂性和计算方面的考量（图 14）。请注意，如果密钥足够长，那么使用适当的安全对称密钥是可以接受的做法（JWT已通过 TLS 加密）。这也能减少了客户方面的复杂性，因为用户仅需一个密钥。Fig.14:60%of API requests use a symmetric,rather than an asymmetric,algorithm Algorithms Symmetric vs.Asymmetric不对称40.0%对称60.0%图 1

55、4：60%的 API 请求使用对称算法，而不是非对称算法 算法对称与非对称的对比23钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI24我们的数据表明，使用JWT对称加密的行业主要分为两类：一类是传统上在网络安全领域投资不多的行业，如制造业和公共机构；另一类是生成海量数据的行业，如视频媒体、博彩和其他数字媒体，因为其处理成本更低（图 15）。金融服务业可能有更加严格的安全规定，因此使用非对称加密的做法更为普遍。请注意，对于这两种类型的JWT加密，JWT本身均通过非对称 TLS 加密会话传输。Fig.15:Symmetric and asymmetri

56、c usage per industrySymmetric and Asymmetric by Vertical对称不对称高科技商业金融服务制造其他数字媒体视频媒体公共部门游戏社交媒体商业服务制药/医疗博彩非营利组织/教育机构图 15：各行业的对称算法与非对称算法的使用情况按垂直行业划分的对称算法与非对称算法使用情况24钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI25JSON Web 令牌与 JSON Web 加密的比较JSONWeb加密(JWE)是JWT的加密版本，使用并不广泛。大多数公司都选择节省计算能力，并使用JWT（图 16）。JWE的一

57、个应用场景是公司希望避免仿冒攻击发起者成功读取JWT。风险类型 为了填补安全缺口，避免可能被攻击者用作入侵点的安全漏洞，一个重要步骤就是在应用程序生命周期的早期阶段确定编码错误。但有一项调查显示，仅有 14%的开发人员在编码过程中会优先考虑应用程序安全。这种做法并不合理，在任何应用程序生命周期中，安全都应该作为一个需要积极关注的关键领域。在本部分中，我们将探讨几种可能被引入您的安全边界的 API 攻击。信任或者不验证用户的签名算法此类攻击会设法让系统信任用户的签名算法，从而在不执行验证的情况下使用JWT和数据令牌。这类似于将前门大敞四开，认定只有合法居民才会进入，甚至更糟糕，盲目信任陌生人会把

58、门锁好并交还钥匙。虽然这种攻击很容易实施，但它可能产生不利后果，如访问特权提升。在某些情况下，如果通过JWT标头改变算法，还有可能导致帐户接管。Fig.16.The usage of JWE vs.JWT seen in the traffic on Akamai edgeJWT vs JWEJWE10.5%JWT89.5%图 16：在 Akamai 边缘流量中观察到的 JWE 与 JWT 的使用情况对比钻过安全漏洞：第 9 卷，第 2 期 SOTI26身份验证流风险在某些情况下，开发人员会为不同的 API 使用相同的私钥。但攻击者可以滥用这一点，利用用户 ID 和来自另一个应用程序的合法JW

59、T接管帐户（图 17）。安全的算法众所周知，非对称算法的安全性高于对称算法，因为前者使用两个密钥，增加了对算法实施攻击的复杂性。最初，使用高熵长密钥的对称算法足够安全，但假以时日，它也会变得不再安全。云计算让攻击者能够通过几年前还无法想象的速度破解使用弱私钥的签名 令牌。避免在有效负载中存储敏感数据开发人员可能会无意中在JWT中存储信息，如内部开发数据、增量式 ID 或服务器字段。编码但未加密的JWT可能会导致潜在敏感数据泄露给攻击者。攻击者可以利用自身获得的 API 相关信息，对存在漏洞的 API 发起更复杂的攻击。注入攻击JWT中的密钥ID(kid)参数用于告诉服务器端应用程序，在验证过程

60、中使用的是哪个密钥为JWT签名。但这个kid参数也有可能成为潜在注入攻击的根本原因，因为它用于查询服务器端数据库。根据Akamai的观察，像 SQL 和操作系统注入这样的攻击会在服务器端 运行。注册这两个应用程序使用应用程序 1 JWT 并接管帐户攻击者应用程序 1授权：JWT_X（用户 ID=1234）应用程序 2授权：JWT_Y（用户 ID=4321）应用程序 2 授权：JWT_X（用户 ID=1234）图 17：攻击者有可能使用其他应用程序的合法令牌来实现帐户接管钻过安全漏洞：第 9 卷，第 2 期 SOTI27保护企业免受 API 风险的侵扰编码中的一个简单错误可能成为攻击者在企业网络

61、中发起攻击的立足点。应用程序与 API 中的缺口会形成漏洞，并让攻击者有机会找到方法来突破外围防御，在您的网络内传播并获取机密信息。同时，Web 应用程序和 API 仍然是企业必须设法防御的关键攻击面，而要想降低风险，及时修补安全漏洞就变得至关重要。像 App&APIProtector 这样的 Web 应用程序和 API 解决方案可以阻止请求或流量到达其目标应用程序，从而阻止攻击。务必将安全措施落实到位，例如及时更新 Web 应用程序防火墙规则。了解应用程序和 API 攻击的工作原理，包括 LFI、SQLi 和 XSS 以外渐成气候的攻击媒介，这样防御者就能掌握必要的知识，保护其企业免受 Lo

62、g4Shell 这样的攻击侵扰。对于 API 特定风险，您可以参考以下一些建议：在使用令牌前使用预定义的算法验证令牌 为每个身份验证环境（以及不同的应用程序）分别使用不同的私钥 使用非对称算法（如果从计算资源角度来看是合理的），使用高熵长私钥 如果用到了kid参数，为其生成一个唯一标识符 避免在有效负载中透露敏感数据；此类数据应该保存在数据库中 记录并监控JWT违规行为，以便日后检查为了抵御 BOLA 攻击带来的风险，下面来介绍一些相关的最佳实践：对使用客户输入的 API 执行授权检查，以确定当前用户是否有权访问请求的资源 使用通用唯一标识符(UUID)作为资源 ID，而不是连续数字 ID 编

63、写并运行测试以评估您的 API 端点是否存在 BOLA 漏洞在各个行业，Web 应用程序和 API 攻击的数量都在急剧增加，这表明随着企业进一步采纳“左移”的做法，开发更多的应用程序，每一家企业都不能免于这些攻击的影响只是或早或晚的问题。钻过安全漏洞：第 9 卷，第 2 期 SOTI28结语和更多建议：填堵边缘缺口 不要等到危机降临才来思考如何抵御不同类型的新漏洞或零日漏洞，无论是对协议、产品还是固件中存在的漏洞，企业都应未雨绸缪。尽管这些抵御措施需要的策略都略有不同，但是建立流程大有助益。我们建议企业尽快采用 Web 应用程序和 API 保护/Web 应用程序防火墙(WAAP/WAF)、内部

64、分段/安全围栏和修补的做法，在边缘处抵御攻击媒介。下一个重大漏洞随时可能出现，您需要立即构建或验证自己的应对策略。本报告审视了流行的攻击媒介，如本地文件包含(LFI)，以及新兴的攻击技术，如服务器端请求伪造(SSRF)、服务器端模板注入(SSTI)和服务器端代码注入。您应该检查自己的日志，观察这些技术的趋势，看看与本报告的分析是否相符。您也可以通过渗透测试和红队验证我们的检测和抵御控制措施的有效性。盘点行业趋势（数字化时代的应用程序和 API 攻击风险：对不同行业的攻击有何不同部分中探讨了相关内容），为贵公司合理排定检测和抵御控制措施的优先次序。行业趋势总能给我们展现耐人寻味的见解。网络犯罪分

65、子根据入侵的费力程度、数据的价值或支付赎金的可能性来评估哪些目标能给他们带来最佳的投资回报，所以攻击趋势经常会发生变迁。但密切留意“邻居”遇到的情况非常重要，因为或早或晚，同样的情况会发生在您的身上。不如把握机会，从他们的事情中汲取经验。医疗业是值得关注的一个行业，医疗物联网(IoMT)带来的复杂性可以作为很好的案例，供我们探索管理新型数据源的方法。钻过安全漏洞：第 9 卷，第 2 期 SOTI29朝着 DevOps 和 API 的转型促使 OWASP 单独评估了 API 风险，并将其与人们更为熟知的 OWASP Web 漏洞进行比较；根据 API 攻击的活动情况以及这些比较的结果，OWASP

66、 将其列入新版十大名单。在考虑如何确定优先级时，不妨先参照 OWASP 更新后的建议。JSONWeb令牌(JWT)可以重点检测“受损的身份验证”，这是一个绝佳的案例，可以展现您在多大程度上仍然需要进行安全代码开发，并且开发最佳实践和技术控制，以确保您的应用程序与风险偏好相匹配。在与客户交流时，客户不断告诉我们安全控制措施整合的价值，自动化对于适应攻击速度的必要性，以及监测能力对决策和性能评估的重要意义。我们希望这份报告中的数据能够带来深入见解，帮助您更新自己的程序并开发最佳实践。如需了解更多见解，敬请访问我们的安全研究中心，随时了解我们的最新研究资讯。方法Web 应用程序攻击数量此数据表示通过

67、我们的 Web 应用程序防火墙观察到的流量的应用层警报数量。在针对受保护的网站或应用程序的请求中检测到恶意负载时，系统就会触发警报。警报并不表示攻击已经成功。虽然这些产品允许的定制程度极高，但我们在收集此处提供的数据时，所采用的方式并未考虑受保护资产的定制配置。这些数据提取自我们的一个内部工具，该工具用于分析在 AkamaiIntelligentEdgePlatform上检测到的安全事件。这是一个由 340,000 台服务器构成的庞大网络，覆盖全球 134 个国家/地区的 1,300 个网络中的 4,000 个地点。我们的安全团队使用这些数据（每月达到 PB 级）来研究攻击，标记恶意行为并将其

68、他情报馈送到Akamai解决方案中。2022 年 5 月的一次重大攻击体量过大，因此部分可视化图表中未包含其数据。出于所有分析的目的，我们仍在数据集中保留了这次攻击的数据。钻过安全漏洞：第 9 卷，第 2 期 SOTI30Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Akamai 来打造并提供安全的数字化体验，为数十亿人每天的生活、工作和娱乐提供助力。Akamai Connected Cloud 是一种大规模分布式边缘和云平台，可使应用程序和体验更靠近用户，帮助用户远离威胁。如需详细了解 Akamai 的云计算、安全和内容交付解决方案，请访问 和 年 4 月。|30致谢名单编辑与

69、创作EliadKimhyLanceRhodesBadetteTribbey审稿和主题撰稿NoamAtiasSusanMcReynoldsRyanBarnettNitzanNamer CherylChiodiNeerajPradeepPaulDonnellyIdoSolomonTomEmmonsCarleyThornellDennisGerman SteveWinterfeldAlexMarks-BluthMaximZavodchik数据分析RobertLesterChelseaTuttle营销与发布GeorginaMoralesHampeShivangiSahu更多互联网现状/安全性互联网现状/安全性报告由Akamai精心呈献，获得了各界的广泛赞誉，您可以回顾往期报告，并关注即将发布的新报告。 访问此报告中的数据查看本报告中引用的图片和图表的高画质版本。这些图片可供免费使用和引用，但必须注明转载来源，并保留Akamai徽标。 Web 应用程序和 API 攻击推出的解决方案，请访问我们的“应用程序和 API 安全”页面。扫码关注获取最新CDN前沿资讯