1、2024 年应用安全趋势报告2Cloudflare|2024 年应用安全趋势目录3摘要4应用安全领域的关键发现5范围和报告方法6缓解流量的趋势7数据快照：缓解流量随时间变化的情况8商业考量和建议9zero-day 趋势10商业考量和建议11DDoS 攻击趋势12数据快照：最大规模的 HTTP DDoS 攻击13商业考量和建议15机器人流量趋势数据快照：具有高机器人流量的行业16商业考量和建议17客户端风险数据快照：第三方脚本和 Cookie 使用情况18商业考量和建议19影子 API 风险20商业考量和建议21总结22Cloudflare 如何提供协助23 了解更多24附录Cloudflare

2、 主要术语表25尾注目录3Cloudflare|2024 年应用安全趋势目录Web 应用是现代生活的核心。对政府而言，它们是向公众传达信息和提供基本服务的重要途径。对企业来说，它们是收入、效率和客户洞察的来源。然而，移动关键数据、流程和基础设施的应用和应用编程 接口(API)也代表着一个不断扩大的攻击面。未受保护的应用遭到利用可能导致业务中断、财务损失和关键基础设施 崩溃。开发人员需要快速交付新功能，例如由大型语言模型(LLM)和生成式 AI 驱动的能力，放大了这个问题。Cloudflare 由世界上最大的网络之一驱动，平均每秒处理超过 5700 万个 HTTP 请求，每天阻止 2090 亿次

3、网络威胁。这一流量的体量、速度和多样性为本 2024 年应用安全趋势报告中探讨的洞察提供了信息。摘要例如，DDoS 攻击的速度和数量不断增加，表明僵尸网络越来越多被用于发动 DDoS 攻击，效率也越来越高。而 DDoS 攻击是针对 Web 应用的第一大攻击类型。您的团队是否具备适当的能力，以检测和阻止由数十万、甚至数百万台机器组成的恶意僵尸网络发送的流量？此外，某些行业面临更大比例的机器人流量。其他行业发现自己成为大量 DDoS 攻击的目标。您能以多快的速度响应这些威胁，以避免财务损失和声誉损害？Cloudflare 还发现，截至 2024 年 5 月，企业和组织平均使用 47.1 个第三方脚

4、本。您的组织是否无意中使最终用户暴露于供应链风险中？随着新的应用风险超出专门应用安全团队的资源范围，越来越多组织意识到需要采取不同的方法。Gartner 预测“到 2027 年，30%的网络安全功能将重新设计应用安全性，以供非网络专家直接使用，并由应用所有者负责。”不管您的组织如何处理应用安全问题，我们都希望这份报告可以指导您在哪些地方优先考虑未来的应用安全控制 而不会抑制数字创新。4 4Cloudflare|2024 年应用安全趋势目录目录头号攻击分布式拒绝服务(DDoS)攻击仍然是针对 Web 应用的最常见攻击类型之一，在 Cloudflare 缓解的所有应用层流量中占 37.1。1 93

5、%的机器人可能是 恶意的约三分之一(31.2%)的流量来自机器人，其中大多数(93%)未经验证并可能存在恶意。4CVE 快速武器化一个新 zero-day 漏洞的概念 验证(PoC)发布仅 22 分钟后，Cloudflare 就观察到尝试利用。2 对第三方代码的信任Enterprise 和组织平均使用 47.1 个第三方脚本其 Web 应用平均向第三方资源进行 49.6 个出站连接。3Cookie 同意风险企业网站平均使用 11.5 个 HTTP cookie，中位数为 5 个。6 这些 HTTP Cookie 可能会使最终用户面临隐私 风险，应用的所有者有责任监控和最小化这些风险。应用安全领

6、域的关键发现过时的 API 安全方法传统的 Web 应用防火墙(WAF)规则最常用于保护 API 流量5；然而，传统的 WAF 负面安全模型方法不足以抵御现代 API 威胁。4数据收集期间：除非尾注中另有说明，否则本报告评估的时间范围为 2023 年 4 月 1 日至 2024 年 3 月 31 日的 12 个月期间。目录Cloudflare|2024 年应用安全趋势5Cloudflare|2024 年应用安全趋势目录总体而言，Cloudflare 在数据收集期间缓解了所有 Web 应用流量的 6.8%。7“缓解”流量定义为任何被 Cloudflare 阻止或质询的流量（完整技术定义请参阅术语