《Akamai：钻过安全漏洞-应用程序和API攻击呈上升趋势（2024）（31页）.pdf》由会员分享，可在线阅读，更多相关《Akamai：钻过安全漏洞-应用程序和API攻击呈上升趋势（2024）（31页）.pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、钻过安全漏洞：第 9 卷，第 2 期 SOTI1互联网现状第 9 卷，第 2 期应用程序和 API 攻击呈上升趋势钻过安全漏洞：第 9 卷，第 2 期 SOTI1目录漏洞频现的一年Web 应用程序和 API 流量分析 数字化时代的应用程序和 API 攻击风险：对不同行业的攻击有何不同留意（安全）缺口：API 攻击研究引发对风险的关注结语和更多建议：填堵边缘缺口方法致谢名单2414202829301钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI2漏洞频现的一年 Log4Shell 和 Spring4Shell 等重大漏洞的出现印证了 Web 应用程序

2、和 API 所带来的严重风险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多 Web 应用程序。平均而言，每家企业使用的应用程序数量已经达到了 1061 个，充分体现出这一攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。2022 年，应用程序和 API 攻击数量创下新高。2021 年末，Log4Shell 爆出后不久，企业就发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：Atlassian Confluence漏洞(CVE-2022-26134)、

3、ProxyNotShell 漏洞(CVE-202241040)和 Spring4Shell/SpringShell(CVE-2022-22965)等。API 漏洞利用攻击的数量不断增加，即将发布的新版开放式 Web 应用程序安全项目(OWASP)API 十大安全漏洞已将 API 漏洞纳入其中，这表示 API 安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击面。例如，攻击者团体使用 Web shell（例如 China Chopper）发动高度有针对性的攻击，比如 Hafnium团体就曾对美国的国防和教育

4、机构发起过此类攻击。此外，服务器端模板注入(SSTI)和服务器端代码注入有可能导致远程代码执行(RCE)和数据渗漏，给业务带来严重威胁。近期的一个例子是在VMwareWorkspaceONEAccessandIdentityManager中发现的 RCE 漏洞(CVE-2022-22954)。在 API 威胁环境中，受损的对象级别授权是企业的主要顾虑，其原因是多方面的，包括这类漏洞的检测难度大、影响大（攻击可能造成攻击者获得敏感数据的访问权限）。考虑到多种非传统攻击媒介的使用量增加，企业有必要升级应用程序和 API 领域的防御机制。在本期互联网现状/安全性(SOTI)报告中，我们将继续研究我们

5、在 Web 应用程序和 API 领域发现的各类攻击，探索它们对于企业的影响，以及各种漏洞在 API 环境中的定位。我们的目标是阐明 Web 应用程序和 API 攻击造成的危险，并提供一些针对性建议，帮助您保护网络，成功抵御此类攻击。钻过安全漏洞：第 9 卷，第 2 期 SOTI3 服务器端请求伪造(SSRF)攻击是一种新近出现的攻击媒介，给企业带来了重大威胁。2022 年，Akamai观察到，针对我们客户 Web 应用程序和 API 的 SSRF 攻击尝试达到平均每天 1,400 万次，这些攻击可能会导致攻击者入侵企业内部资源。开源软件中的漏洞（如 Log4Shell）以及允许远程代码执行(R

6、CE)的 SSTI 技术日渐盛行。我们预计在未来几年中，这些攻击还会不断增长，建议企业采取相应的防护措施。2022 年，随着物联网(IoT)通信的蓬勃发展，以及从制造业设备中收集到的数据愈发惊人，这使得针对制造业发起的攻击数量中位数增加了 76%。针对此行业内运营技术(OT)实施的网络攻击频频得手，带来了供应链问题等现实影响。在医疗领域，医疗物联网(IoMT)的采用扩大了该垂直行业的攻击面，给攻击者创造了通过漏洞发起攻击的机会。2022 年，这个行业的攻击数量中位数增加了 82%。API 研究得出的见解包括：拟议的新版 OWASP API 十大安全漏洞强调了 Web 应用程序与 API 之间的