2023年互联网现状与安全性(SOTI) 报告.pdfVIP

目录 2 I ；屑洞频现的 一 年 4 I Web应用程序和API流量分析 14 I 数字化时代的应用程序 API攻击风险 对不同行业的攻击有何不同 20 I 留意 （安全）缺口· API攻击研究引发对风险的关注 28 I 结语 更多 建议· 填 堵边缘缺口 29 I 方法 30 I 致谢名单 钻过安全淜凋第9卷 第2明 SOTI l C在一 漏洞频现的 一 年 Log4Shell和Spring4Shell 等重大沺洞的出现印证了Web应用程序和API所带来的严重风 险、 也体现出这些威胁面的重要影响。 为了加强整体运营 ， 企业依然在积极采用更多We 应用程序。 平均而言 ， 每家企业使用的应 用程序数 噩已经达到了 1061个 ， 充分体现出这 一 攻击面在不断扩大。 现有安全漏洞依然让攻击者有机可乘 ， 层出不穷的新兴零日漏洞更是 雪上加霜 ， 促使企业比以往更需要加强应用程序安全性， 以保护机密数据和安全边界。 2022年 应用程序和API攻击数噩创下新高。2021年末 Log4Shell爆出后不久 ， 企业就 ， ， 发现自己四面楚歌 ， 还有其他多个重大漏洞威胁若他们的安全， 其中包括 Atlassian Confluence 漏洞(CVE-2022-26134 、 P roxyNotShell 漏洞(CVE-2022-41040 )和 ) Spring4Shell/SpringShell (CVE-2022-22965) 等。 APli屈洞利用攻击的数 盎不 断增加 ． 即将 发布的新版开放式We 应用程序安全项目 (OWASP)API十大安全稀洞已将API淜洞纳入 其中 ． 这表示 风险已经引起了业界的极大关注。 随着攻 击频率的激 增 ， 攻击的复 AP I安全 杂性也在提高， 攻击者在不断 ” 进化” ， 努力寻找更多新方法来利用这一不断扩大的攻击 面。 例如 攻击者团体使用 We shell （例如China Chopper) 发动高度有针对性的攻击 ， ， 如Hafnium 比 团体就 曾对美国的国防和教 育机构发起过此类攻击。 此外 ， 服务器端模板注入(SSTI)和服务器端代码注入有可能导致远程代码执行(RCE)和数 一 据渗漏给业务带来严重威胁。近期的 个例子是在 VMware Wo『kspace ONE Access and dentity Manager 中发现的RCE 漏洞 (CVE-2022-22954 。) 在 API威胁环境中 ， 受损的对象 I 级别授权是企业的主要顾虑． 其原因是多方面的 ． 包括这类痛洞的检测难度大、 影响大 （攻击可能造成攻击者获得敏感数据的访问权限 ）。 考虑到多种非传统攻击媒介的使用蛋 增加 ． 企业有必要升级应用程序和API领域的防御机制。 在本期《互联网现状／安全性》(SOTI)报告中 ， 我们将继续研究我们在Web应用程序和API 领域发现的各类攻击 ， 探索它们对干企业的影晌 ． 以及各种漏洞在API环境中的定位。我 们的目标是阐明Web应用程序和API攻击造成的危险 ， 并提供一些针对性建议， 帮助您保 护网络 ， 成功抵御此类攻击。 钻过安全漏洞：第9卷 ， 第2期 SOTI 2 服务器