SOTI1 SOTI12漏洞頻現(xiàn)的一年20留意(安全)缺口：API攻擊研究引發(fā)對(duì)風(fēng)險(xiǎn)的關(guān)注28結(jié)語和更多建議：填堵邊緣缺口29方法30致謝名單SOTI1Web充分體現(xiàn)出這一?，F(xiàn)有安全漏洞依然讓攻擊者有機(jī)可乘，層出不窮的新興零日漏洞更是數(shù)據(jù)和安全邊界。API攻擊的復(fù)擊者在不斷“進(jìn)化”，努力尋找更多新方法來利用這一不斷擴(kuò)大的攻擊面。例如，攻擊者團(tuán)體使用Webshell(例如ChinaChopper)發(fā)動(dòng)高度有針對(duì)性的攻擊，Hafnium擊。業(yè)的主要顧慮，其原因是多方面的，包括這類漏洞的檢測難度大、影響大 (攻擊可能造成攻擊者獲得敏感數(shù)據(jù)的訪問權(quán)限)。考慮到多種非傳統(tǒng)攻擊媒介的使用量PIAPI中的定位。我SOTI2SOTI3F?開源軟件中的漏洞(如Log4Shell)以及允許遠(yuǎn)程代碼執(zhí)行(RCE)的SSTI技術(shù)日漸盛取相應(yīng)的防護(hù)措施。?2022年，隨著物聯(lián)網(wǎng)(IoT)通信的蓬勃發(fā)展，以及從制造業(yè)設(shè)備中收集到的數(shù)據(jù)愈發(fā)?在醫(yī)療領(lǐng)域，醫(yī)療物聯(lián)網(wǎng)(IoMT)的采用擴(kuò)大了該垂直行業(yè)的攻擊面，給攻擊者創(chuàng)造了SOTI3攻擊數(shù)量月2月3月4月月6月7月8月9月0月1月2月月攻擊數(shù)量月2月3月4月月6月7月8月9月0月1月2月月Web幫助企業(yè)獲得了罪分子的角度來看，他們總是“跟著錢走”，尋找一切機(jī)會(huì)去實(shí)現(xiàn)自己的最終目標(biāo)。Akamai始終在監(jiān)控和觀察這些攻擊的大規(guī)模增長和頻率(圖1)，在之前的對(duì)比5000萬2021年2022年0中間有數(shù)個(gè)高峰，可能表明零散的攻擊活動(dòng)SOTI4數(shù)量22年1月22年2月22年3月22年4月22年5月22年6月22數(shù)量22年1月22年2月22年3月22年4月22年5月22年6月22年7月22年8月22年9月022年10月022年11月022年12月23年1月AkamaiApp&APIProtector產(chǎn)品，加強(qiáng)了攻擊檢測能力。攻擊數(shù)量的激增也讓我們確定了PI業(yè)(如科技公司等)造成大規(guī)模數(shù)據(jù)泄漏之前，Web應(yīng)用程序和API攻擊就已經(jīng)在急劇擴(kuò)了確保應(yīng)用程序安全的重要性。次攻00萬7天平均7天平均值0圖2：2022年，我們觀察到三次明顯的高峰(4月2日、7月28日和10月9日)，這可能是針對(duì)一家或幾家公司的大爆炸式攻擊活動(dòng)SOTI5API來改進(jìn)客戶體展，這使得應(yīng)用程序開發(fā)生命周期需要縮短在生產(chǎn)環(huán)境中創(chuàng)建和部署此類應(yīng)露后的24小時(shí)內(nèi)，我們開始看到有關(guān)這些信息，造成目錄遍歷攻擊，攻擊者可借此獲得日志文件數(shù)據(jù)，從而侵入網(wǎng)絡(luò)中更深入的部分。(在下一部分中，我們將更深入地分析這一媒介及其他普遍存在的攻擊媒介。)露端倪時(shí)，只要有可能影響到企業(yè)，您就過了解這些新攻擊媒介，您就可以為速度和規(guī)模，企業(yè)不但要完成內(nèi)部分段和補(bǔ)丁安裝，還有必要具備在邊緣力。由于應(yīng)用程序?yàn)閿?shù)眾多，您還需要良好的資源清冊(cè)。了解攻擊面及其控制措施至關(guān)重要。如今有許多公司都在整理“軟件材料清單”，目的需要制定相應(yīng)流程來驗(yàn)證確實(shí)有效的防御措施，包括滲透測試和日志分析SOTI62021年與2022年的攻擊數(shù)量總數(shù)對(duì)比惡意文件上傳2021年與2022年的攻擊數(shù)量總數(shù)對(duì)比惡意文件上傳150億100億50億0意的攻擊媒介探索了攻擊者在攻擊的位置、生成這些攻擊的方式，以及他們選擇執(zhí)行的具體攻擊。在有時(shí)，只要有可能影響到企業(yè)，您就應(yīng)該仔細(xì)加以考察。了解新攻擊媒介可以幫您做好的對(duì)比2021年2022年200億法時(shí)，LFI依然是首選攻擊媒介SOTI7流行的攻擊媒介可能造成的后果，以及攻擊者對(duì)于這些媒介的利用方式。仔stLFI鏈與P在本部分中，我們將審視過去一年中遇到的一些不同以往、新近興起并且高度些逐漸盛行的攻擊對(duì)于準(zhǔn)備未來安全防護(hù)措施意義非凡。我們希望幫罪分子如何濫用以下這些攻擊媒介，以便制定相應(yīng)的抵御策略，為下一個(gè)達(dá)碼注入SOTI8HafniumSSRF企業(yè)發(fā)起了攻擊eTsai為“ProxyLogon”。在Microsoft發(fā)布安全補(bǔ)丁解決MicrosoftHafnium利用此漏洞發(fā)起了攻擊，受影響的企業(yè)數(shù)量估計(jì)達(dá)到F后續(xù)被添加到9月發(fā)布的“2021年OWASP十大安全漏洞”FS流量(其目的是尋找MicrosoftExchange以外的軟件中的具助長了此類掃描活動(dòng)。我們還觀察到，探測我們App&API期E話題。)這些惡意文件一旦上傳，攻擊者會(huì)擇機(jī)利用簡單的GET請(qǐng)求予以調(diào)用(圖4)，cron夾中，則可以在某個(gè)特定的實(shí)例中執(zhí)SpringShellgShell洞的可行性。源代碼，通過合作打造出色的工具、框架和軟件，但它也可能成為漏者都在密切關(guān)注潛在安全漏洞，探索在攻擊中加以利用或?qū)⑵溆米魅隨OTI10敲門磚的可能性。因此，防御者或漏洞研究人員需要和時(shí)間賽跑，趕在攻擊于攻擊之前開發(fā)出修補(bǔ)程序，創(chuàng)建概念驗(yàn)證漏洞。由于目前還沒有更安全需要認(rèn)識(shí)到開源軟件的這個(gè)方面，并采取修補(bǔ)以外的策略來防范零日漏三方代碼審核的趨勢(shì)。ebHTMLshell得敏感信息(如用戶名和密碼)的訪問權(quán)限。攻擊者經(jīng)常利用用戶輸入字段強(qiáng)行使用此類攻bb升趨勢(shì)。攻擊者可能會(huì)濫用這些漏洞，在存在漏洞的服務(wù)器上運(yùn)行遠(yuǎn)程代碼，這可能會(huì)導(dǎo)致反彈shell和任意文件讀取等問題(圖6)。圖6：允許攻擊者讀取/etc/passwd文件的漏洞利用攻擊代碼示例，該文件中包含NodeJS服務(wù)器上用戶的敏感信息期llnaChopper攻擊的WebWebshell二部分是Webshell，它可能采用PHP文件的形界面和許多命令和控制功能，如密碼暴力破解攻擊、文件管理和代碼Behinder具有類似的功能，而且額外增加了加密通信。由于這樣的補(bǔ)充，再加上它屬于內(nèi)ebshell安全控制措施還應(yīng)提供分析，生成工件以便向領(lǐng)導(dǎo)層和審計(jì)師匯報(bào)方式利用請(qǐng)求盜取攻擊，包括訪問敏感數(shù)據(jù)、污染緩存的內(nèi)容，甚至是 (HRS，也稱為HTTP不同步攻擊)再次成為安全研究熱點(diǎn)。他在2019年黑帽會(huì)議上做了SOTI12th服務(wù)器還必須維護(hù)來自前端客戶端的請(qǐng)求/響應(yīng)數(shù)據(jù)與所返回?cái)?shù)據(jù)之間的映射關(guān)系。在HRS/不沒能將這些響應(yīng)內(nèi)容正確映射到前端客戶端的請(qǐng)求，這種映射會(huì)被破壞(圖7)。前端圖7：不同步攻擊的原理(來源：Portswigger)后端?標(biāo)頭沒有以“\r\n”結(jié)尾?標(biāo)頭不包含冒號(hào)“:”?標(biāo)頭無名稱SOTI132021年與2022年的攻擊數(shù)量總數(shù)對(duì)比商業(yè)高科技金融服務(wù)其他制造其他數(shù)字媒體視頻媒體公共部門游戲社交媒體商業(yè)服2021年與2022年的攻擊數(shù)量總數(shù)對(duì)比商業(yè)高科技金融服務(wù)其他制造其他數(shù)字媒體視頻媒體公共部門游戲社交媒體商業(yè)服務(wù)制藥/醫(yī)療非營利組織/教育機(jī)構(gòu)博彩40%30%20%IDD (不論規(guī)模大小)才不約而同地開始實(shí)施數(shù)字化。這些企業(yè)匆忙實(shí)施在線服務(wù)和流程，可能業(yè)的風(fēng)險(xiǎn)暴露面。的對(duì)比2021年2022年圖8：商業(yè)、高科技和金融服務(wù)是受Web應(yīng)用程序和API攻擊影響最為嚴(yán)重的垂直行業(yè)ebAPI擊的頻率都出現(xiàn)增長，而商業(yè)、高科技和金融服務(wù)行業(yè)則首當(dāng)其沖(圖8)。SOTI14攻擊數(shù)量社交媒體商業(yè)服務(wù)制藥/醫(yī)療非營利組織/教育機(jī)構(gòu)技金融服務(wù)其他數(shù)字媒體視頻媒體公共部門攻擊數(shù)量社交媒體商業(yè)服務(wù)制藥/醫(yī)療非營利組織/教育機(jī)構(gòu)技金融服務(wù)其他數(shù)字媒體視頻媒體公共部門30萬20萬02021年2022年同的視角展示了各垂直行業(yè)中的攻擊頻率范圍對(duì)于中位數(shù)數(shù)據(jù)集的研究固然存在自己的偏差，但提供了不同的視角(圖9)。它為我們勾景象，讓我們得以了解個(gè)別行業(yè)在攻擊方面所經(jīng)歷的情況。例如，我們看SOTI15數(shù)量19年1月數(shù)量19年1月20年1月21年1月22年1月23年1月FI域中更廣泛趨勢(shì)的延續(xù)，促使此類攻擊遠(yuǎn)超之前的主要攻擊媒介SQLi(圖10)。在2022年全10億LFISQLiXSS7.5億2.5億0圖10：從2019年到2023年初，針對(duì)商業(yè)領(lǐng)域的主要攻擊媒介的視圖，QLi施數(shù)據(jù)滲漏攻擊(在針對(duì)商業(yè)領(lǐng)域的WAF攻擊中，此類攻擊一度占到大約79%的比例)，而LFI一個(gè)容器化環(huán)境的迅速擴(kuò)增，這些環(huán)境可能在運(yùn)行較舊的映像，更容易受到采用較ISOTI16機(jī)構(gòu)實(shí)現(xiàn)數(shù)字化，積極采納改變游戲規(guī)則的舉擴(kuò)大業(yè)務(wù)范疇，如開放銀行服務(wù)、銀行業(yè)務(wù)即服務(wù)和不斷重視，到2027年可以穩(wěn)穩(wěn)產(chǎn)生入。一項(xiàng)針對(duì)中小型企業(yè)的全球調(diào)查表少使用傳統(tǒng)銀行服務(wù)。嵌入式金融服務(wù)提供商可以獲得高確實(shí)為銀行和其他金融機(jī)構(gòu)帶來了增長機(jī)會(huì)，但析》中，我們發(fā)現(xiàn)針對(duì)金融服務(wù)的興趣持續(xù)增長。隨著金融服務(wù)的攻擊面不安全領(lǐng)域從業(yè)者了解其風(fēng)險(xiǎn)暴露情況，并據(jù)我們還建議縮小攻擊面、加強(qiáng)環(huán)境感知，以Akamai近期研究給金融服期消費(fèi)者的垂直行業(yè)(例如零售業(yè))，但攻擊事件的影響可能會(huì)。過去，工業(yè)控制系統(tǒng)是獨(dú)立式硬件和軟件系統(tǒng)，除了個(gè)別部件或工廠本身之外，彼此間幾乎沒有聯(lián)系。如論是物聯(lián)網(wǎng)連接數(shù)量，還是從生產(chǎn)設(shè)施的各類設(shè)備中收據(jù)量都呈現(xiàn)激增之勢(shì)，訪問來自這些設(shè)備的數(shù)據(jù)的請(qǐng)求增加。這些數(shù)據(jù)的用途包括供應(yīng)商管理、庫存管理、生TOT以適應(yīng)兩個(gè)世界逐漸交融的現(xiàn)狀。尤為值得關(guān)注的軟件的攻擊者，以及希望掌握相應(yīng)能力，通過影響管線、煉油廠、水廠、交通運(yùn)輸網(wǎng)和其他關(guān)鍵民用基本服務(wù)的交付來擾亂社會(huì)的境外民族國家的威啟迪，那就是這個(gè)行業(yè)需要立即著手加強(qiáng)防御期醫(yī)療/制藥業(yè)IoMT用起來，讓醫(yī)生與患者能通過網(wǎng)絡(luò)實(shí)時(shí)獲取信供商和醫(yī)生帶來了新的機(jī)會(huì)和高效、無縫的體大了這個(gè)領(lǐng)域的攻擊面。使用第三方應(yīng)用程序的安全漏洞，而攻擊者可能利用這些第三方的IoMT強(qiáng)大的分監(jiān)測變得非常重要?；颊甙踩陵P(guān)重要，不容服務(wù)提供商在網(wǎng)絡(luò)安全方面需要優(yōu)先考慮的準(zhǔn)？”關(guān)于行業(yè)趨勢(shì)的這個(gè)部分提供了，可以幫您有理有據(jù)地探討貴公司與期1受損的對(duì)象級(jí)別授權(quán)21受損的對(duì)象級(jí)別授權(quán)2受損的用戶身份驗(yàn)證安全配置錯(cuò)誤7缺乏對(duì)自動(dòng)威脅的防范8資源清冊(cè)管理不當(dāng)9API的使用不安全10留意(安全)缺口：OWASP將API攻擊納入候選名單(其十大攻擊排名的草案)，這是行業(yè)朝著專門關(guān)注APIAPI質(zhì) (圖11)。提到API的性質(zhì)，有必要指出一個(gè)基本要點(diǎn)：其保護(hù)頗具難度，針對(duì)API發(fā)起API家019023受損的對(duì)象級(jí)別授受損的對(duì)象級(jí)別授權(quán)1受損的身份驗(yàn)證受損的身份驗(yàn)證233數(shù)據(jù)泄露過多損的對(duì)象屬性級(jí)別授權(quán)4缺乏資源和速率限制不受限制的資源消耗5受損的功能級(jí)別授權(quán)受損的功能級(jí)別授權(quán)6批量分配服務(wù)器端請(qǐng)求偽造77安全配置錯(cuò)誤8注入9不當(dāng)?shù)馁Y產(chǎn)管理10日志記錄和監(jiān)控不足圖11：新擬議的“十大安全漏洞”中包含更多與API相關(guān)的攻擊，并著重強(qiáng)調(diào)了授權(quán)問題(在前五大攻擊中占據(jù)四席)PI容器和Kubernetes應(yīng)納入API安全領(lǐng)域(就概括的層面而言)，而且對(duì)于URL傳遞(SSRF)的高風(fēng)險(xiǎn)有所影響。本部分將探討列入前五位的幾種API攻擊(對(duì)象、屬性、身份驗(yàn)證和授權(quán))。我們先來看一下API授權(quán)的復(fù)雜性質(zhì)，以及識(shí)別和測試錯(cuò)誤的API邏輯造SOTI20GET/account/<GET/account/<alice-UUID>BOLA攻擊限。例如，某個(gè)不具備特權(quán)的用戶通過這種方式訪問、更新或刪除了另一位用戶的數(shù)據(jù)，這就可以視為BOLA攻擊(圖12)。GET/account/<alice-UUID>GET/account/<eve-UUID>其存儲(chǔ)的個(gè)人身份信息。不同于加密破解或自動(dòng)化/程序化攻擊(如分布式拒絕服務(wù)和撞庫)等技問的資源。檢測邏輯必須區(qū)分資源和用戶之間的一對(duì)一連接和一對(duì)多連接。事后SOTI21API者可以濫用它來劫持用戶的帳戶信息，將其ai更好地了解其潛在風(fēng)險(xiǎn)。Akamai流量調(diào)查26.1%HS512HS256HS2567.9%0.8%圖13：大多數(shù)Akamai客戶使用HS256JWT身份驗(yàn)證，其次是RS256T已知用于為JWT簽名的算法有HS256(使用SHA256的HMAC)和RS256(使用SHA256RSA(55%)的API請(qǐng)求采用HS256算法來為其相關(guān)SOTI22不對(duì)稱40.0%對(duì)稱%要高于非對(duì)稱算法，這有些令人意外，原因或許出于我們的客戶對(duì)系統(tǒng)復(fù)雜性和計(jì)算方面的考量(圖14)。請(qǐng)注意，如果密鑰足夠長，那么使用適當(dāng)?shù)陌踩珜?duì)稱密鑰是可以接受的做法(JWT已通過TLS加密)。這也能減少了客戶方面的復(fù)雜性，因?yàn)橛脩魞H需SOTI23博彩制造其他數(shù)字媒體視頻媒體公共部門游戲社交媒體商業(yè)服務(wù)制藥/醫(yī)療非營利組織/教育機(jī)構(gòu)商業(yè)高科技金融服務(wù)博彩制造其他數(shù)字媒體視頻媒體公共部門游戲社交媒體商業(yè)服務(wù)制藥/醫(yī)療非營利組織/教育機(jī)構(gòu)商業(yè)高科技金融服務(wù)對(duì)稱算法與非對(duì)稱算法使用情況不對(duì)稱對(duì)稱圖15：各行業(yè)的對(duì)稱算法與非對(duì)稱算法的使用情況，如制造業(yè)和公共機(jī)構(gòu)；另一類是生成海量數(shù)據(jù)的行業(yè)，如視頻媒體、博彩和其他數(shù)字媒體，因?yàn)槠涮幚沓杀靖?圖15)。金融服務(wù)業(yè)可能有更加嚴(yán)格的安全規(guī)定，SOTI24JWTJWE的一個(gè)應(yīng)用場景是公司希望避免仿冒攻擊發(fā)起者成功讀圖16：在Akamai邊緣流量中觀察到的JWE與JWT的使用情況對(duì)比攻擊者用作入侵點(diǎn)的安全漏洞，一個(gè)重要步驟就是在應(yīng)用慮應(yīng)用程序安全。這種做法并不合理，在任何應(yīng)用程序生命周期中，安全需要積極關(guān)注的關(guān)鍵領(lǐng)域。在本部分中，我們將探討幾種可能被引入您的證用戶的簽名算法況下使用JWT和數(shù)據(jù)于將前門大敞四開，認(rèn)定只有合法居民才會(huì)進(jìn)入，甚至更糟糕，盲目信任陌好并交還鑰匙。雖然這種攻擊很容易實(shí)施，但它可能產(chǎn)生不利后果，如訪問SOTI25注冊(cè)這兩個(gè)應(yīng)用程序使用應(yīng)用程序1JWT注冊(cè)這兩個(gè)應(yīng)用程序使用應(yīng)用程序1JWT并接管帳戶1利用用戶ID和來自另一個(gè)應(yīng)用程序的合法JWT接管帳戶(圖17)。應(yīng)用應(yīng)用程序2攻擊者7：攻擊者有可能使用其他應(yīng)用程序的合法令牌來實(shí)現(xiàn)帳戶接管的安全性高于對(duì)稱算法，因?yàn)榍罢呤褂脙蓚€(gè)密鑰，增加了對(duì)算法實(shí)。最初，使用高熵長密鑰的對(duì)稱算法足夠安全，但假以時(shí)日，它也會(huì)變得攻擊者能夠通過幾年前還無法想象的速度破解使用弱私鑰的簽名載中存儲(chǔ)敏感數(shù)據(jù)DJWT者。攻擊者可以利用自身獲得的DkidJWTkidSOTI26PI會(huì)形成漏洞，并讓攻擊者有機(jī)會(huì)找到方法來突破外圍防御，在您的網(wǎng)絡(luò)內(nèi)傳播并獲取App&APIProtector這樣的Web應(yīng)用程序和API程序，從而阻止攻擊。務(wù)必將安全措施落?在使用令牌前使用預(yù)定義的算法驗(yàn)證令牌?為每個(gè)身份驗(yàn)證環(huán)境(以及不同的應(yīng)用程序)分別使用不同的私鑰?使用非對(duì)稱算法(如果從計(jì)算資源角度來看是合理的)，使用高熵長私鑰?如果用到了kid參數(shù)，為其生成一個(gè)唯一標(biāo)識(shí)符?避免在有效負(fù)載中透露敏感數(shù)據(jù)；此類數(shù)據(jù)應(yīng)該保存在數(shù)據(jù)庫中記錄并監(jiān)控JWT違規(guī)行為，以便日后檢查戶輸入的API執(zhí)行授權(quán)檢查，以確定當(dāng)前用戶是否有權(quán)訪問請(qǐng)求的資源ISOTI27來思考如何抵御不同類型的新漏洞或零日漏洞，無論是對(duì)協(xié)議、產(chǎn)品WAAPWAF在邊緣處抵御攻擊媒介。下一個(gè)勢(shì)，看看與本報(bào)告的分析是否相符。您也可以通過滲透測試和紅隊(duì)驗(yàn)證我們的檢測和抵御控制措施的有效性。盤點(diǎn)行業(yè)趨勢(shì)(數(shù)字化時(shí)代的應(yīng)用程序和API攻擊風(fēng)險(xiǎn)：對(duì)不同行業(yè)的攻擊有何不同部分中探討了相關(guān)內(nèi)容)，為貴公司合理排定檢測給我們展現(xiàn)耐人尋味的見解。網(wǎng)絡(luò)犯罪分子根據(jù)入侵的費(fèi)力程度、數(shù)據(jù)的價(jià)的可能性來評(píng)估哪些目標(biāo)能