【研报】2022年Web安全观察报告_市场营销策划_2023年市场研报合集-9月份汇总_doc.docx

《【研报】2022年Web安全观察报告_市场营销策划_2023年市场研报合集-9月份汇总_doc.docx》由会员分享，可在线阅读，更多相关《【研报】2022年Web安全观察报告_市场营销策划_2023年市场研报合集-9月份汇总_doc.docx（15页珍藏版）》请在第一文库网上搜索。

1、目录CONTENTS第一章核心发现1.1. 高危Web漏洞持续爆021.2. AP1已成为黑产攻击的头号目标0213传统WAF防护无法覆盖多样化的安全威胁021.4. WAAP是全面保护Web应用的有效手段02第二章主要安全威胁发展趋势2.1. DDOS攻击规模足以突破大部分防御手032.2. Oday漏洞扩散难以及时控制032.3. AP1缺乏安全管理体系，成为攻击主要突破口042.4. 越来越多攻击从自动化Bot发起042.5. 在线业务欺诈风险骤升06第三章攻击手段解读3.1. 利用API安全缺陷攻击063.2. 利用海量秒拨IP发起低频应用层DDC)S攻击083.3. Oday漏洞自动

2、化探测绕过WAF防护093.4. 手段多变的Bot攻击103.5. 欺诈背后的黑灰产业链1113安全建议第一章核心发现1.1. 高危Web漏洞持续爆发2023年底核弓单曲g4she1漏洞爆虚后，2023年持经管多个会漏洞。2023年网宿安全平台共布W到2700万次隼*让）g4she11各个变种漏洞的利用。此外，2023年又持绍g管大量新的高危漏洞，包翔、At1assian括ApacheFineraCt路径遍洞、OPenSS1安全漏洞、SQ1ite马HBitbucketSerVer和BitbUCketDataCente僚令注入漏洞、ApacheCommonsBCE1区车洞等域6漏洞。截至2023

3、年底，CNVD披露的2023年新增漏洞数量妾B900个，旃洞数量相比2023年下降了10.01%,但高危数量相比2023年反而增加了13.07%,溺Web漏洞更加走鱼!高危领，威月龙或初来越尸腰。1.2. AP1已成为黑产攻击的头号目标互联网数字化时代，越来越多的企业已经在利用AP1的技术和经济模式来保证竞争力的延续。2023年在网宿CDN平台流通的AP1iW占全平台IW量的61.3%,随之而来的API攻击呈王如明喜上走养全年名本即I的攻击比首次突破50%,达到了58.4%。GaHner曾予丽W“至J2023年，API将成酒维击利用最频繁的载体“，现如今已得到验证。13.传统WAF防护无法覆盖

4、多样化的安全威胁随着企业数字化进程不断推进，企业核心9用Web、APP.H5、微信等多渠道上，依托于开放AP1灵活开展，随之而来的Web业务攻击面不断增大，DDoS、漏洞利用、数据爬取、业务欺诈等安全威胁层出不第彳冬KAF又假覆盖如此多择的威月办根据网宿安全平台2023年数据显，同日想到2种以上威月加Webu号比达87%,3种以上占比仍高达65%。1.4. WAAP是全面保护Web应用的有效手段2023年，Gartner将多年来绽的WAF魔力象限改汨WAAP魔力象限，将WAAP定*S提供彳冬EWeb安全防御能力的WAF之上扩展为集DDoS防护、Bot流量管理、WAF.AP1防护于一体的下一代W

5、EB安全防切?决方案。2023年，OWASPAPISecurityTop10新增了“API缺少对自动化威胁的保护，也说明由自动化Bot发起的数据爬取、业务欺诈等威胁必须得到企业重视。云WAAP方案价僮海外市场!企11业已得到充分马金E网宿安全最早于2017年绽了契合WAAP核心理念的一体化安全加速解决方案，我ER如AAP是AP吗区的数字日立下全面保谕eb屈的有效手段。第二章主要安全威胁发展趋势2.1. DDOS攻击规模足以突破大部分防御手段随着互联网不断发展，知名的XorDDe)S、Mirai、Gafgyt、FOdChaS等僵尸网络的规模也在不断扩张，DDOS攻击规模也随之逐年上升。网宿安全平

6、台2023年数据显示，网宿平台遭遇的DDoS攻击峰值达到2.09Tbpsz全年T级以上攻击出现8次，T级攻击已成为家常便饭。同时，攻击发生频率也有明显增长，网宿安全平台日均监测并拦截DDC)S攻击事件43.92万次，同比增长103.8%。2023年2023年2001月2月3月4月5月6月7月8月9月10月11月12DDOS攻击事件数呈在如此频繁且大规模的攻击面前，基于单一数据中心边界的传统防护手段已无法应对，只有运营商、CDN.云计算这类提供互联网基础设施的厂商具备应对超大规模攻击的清洗能力。另外，网宿安全团队对僵尸网络持续跟踪发现，多个僵尸网络混合攻击已成为主流的攻击方式，攻击平台可以迅速调

7、动多个僵尸网络的资源，瞬间操控数十万甚至更多的肉鸡IP同时发起攻击，尤其是以此方式发起的极其分散低步的七鹿DoS攻击防扳候极大。2.2. Oday漏洞扩散难以及时控制Odayi隔洞公开后，其传播扩散正在变得越来越难以控制。从漏洞传播速度来看，当前互联网信息传播极快，Oday漏洞爆发后第一时间就会出现大量黑客使用批量扫描工具在互聊上i大夫糜嗅探，此日如若WAF等更新防御夫见U1WebU&面I1儆高的失陷风险。从漏洞应对效率来看，面对组件Oday漏洞防护，传统防御模式依赖在WAF防护设备上更新规则插件来进行防护。层出不穷的新漏洞和影响持续的旧漏洞，使安全防御规则更新频次越来越高，企业安全运营人员同

8、时要考虑安全性和业务的稳定性，很可能无法决策合理的规则库更新时机；另外，因业务扩展IT体系越来越复杂，防御体系缺乏统一的中心管理，也容易造成部分安全设备游离在边缘，无法及时更新防御规则库，从而带来巨大的安全隐患。2.3. API缺乏安全管理体系，成为攻击主要突破口API作为核心业务载体，当前缺乏完善的安全管理体系，成为攻击主要突破口。攻由可以通过P1接口我敏感数据、篡改数据、甚至直接攻击后端系统，从而对企业造成严重的损失。首先，AP1的攻击成本更低。攻击者只需要找到AP1的接口地址，就可以通过简单的网络请求获取数据或者进行攻击。相比之下，攻击整个网站需要攻击者具备更高的技术水平和更多的时间成本

9、。举例来说，攻击者可以通过API接口获取用户的个人信息、账户余额等敏感数据，从而进行钓鱼诈骗或者直接盗取用户的资金。另外，攻击者还可以通过篡改AP1返回的数据，对企业的业务造成影响，比如篡改商品价格、库存等信息，导致企业损失惨重。其次，企业对自己的AP1资产现状不清，更难保护全量AP1资产的安全，给业务留下了突破口。数据显示在受1最关心的AP1安全I福重，僵尸API以43%占比高居第一,闻S对E22%的占比位居第二的贝氏接管/71ffi;汪83%的受询者又强中1逐清算否完整没有信心。海企I1R售尸AP1及API清目露整度有如此大的担忧？安全隐患往往藏于未知，未知的僵尸API、未知的影子API、

10、未知的敏感数据暴露等，根源都在于企业对AP1资产全貌的未知。安全的管理与防护始于已知和可见，人们难以掌控那些被遗忘的、看不见摸不着的资产安全状况。然而正是这些被人遗忘、不可管控的API,因其往往潜藏着未被修复的漏洞，备受攻击者青睐。正因企业缺乏对AP1安全的全面管理，给攻击者留下了可乘之机。例如，2023年6月，持续集成开发工具TravisCI被曝其AP1允曾任何人沅砌文历日志，导超注7.7彳多用尸日志数据泄露，内含73000份令牌、访问密钥和其它云服务凭据；2023年6月，职场社交巨头1ir1kedIn超7亿用户数据在暗网被公开售卖，数据潸客利用其API漏洞所得；2023年，美国在潮育平台C

11、hegg遭受黑客攻击攻击通过攻击Iegg的AP1接口羽g了4000万客尸的个人信息，造成数百万美元的按。2.4. 越来越多攻击从自动化BOt发起2023年全年网宿安全平台共12副163185dZBot攻击即平均每秒疮绝175次Bot攻击与往年相比,攻击是2023年的1.93倍，2023年的4.55倍。亿次2023年2023年2023年Bot攻击次数O每月的恶意BotS访问量居高不下Web业务的非人类访问量一直保持在40%左右，而其中绝大部分来自恶意Bots。善意BOtS恶意BOtS人类访问一软件信息服务、交通运输、生活服务是BOt攻击的三大重灾区从细分行业来看，受BOt攻击最严重的三大行业为软

12、件信息服务、交通运输、生活服务，都是与当代人们生活息息相关的行业。排名前三的行业受Bot攻击总量超过一半。BOt攻击目标行业分布0BOt攻击更隐蔽对海量的Bot攻击数据进行汇总分析，我们发现Bot攻击手段越来越来隐蔽。比如：通过伪造正常的USe1Agent和使用模抖女常汶雌的自云1框架绽攻击另外，Bot更偏向于例一个看似合法的R为案的重USer-Agent僮者例成善意搜索引擎爬虫，来迷惑固定夫!酗的梅西案，以名重围堵2.5. 在线业务欺诈风险骤升随着企业的数字化转型，大量线下业务加速转移到线上，流量模式成为大势所趋，H5、小程序愈加普及，同时，企业开展线上业务，需要大量使用AP1共享数据、算法

13、、交易、流程等业务功能，由此成为了网络攻击的重点目标，攻击所导致的数据泄露，同时为黑产提供了大量的账号、手机号、身份信息、银行卡号等基础物料资源。在大量的黑产资源下，超200万的黑产从业人员通过批量的高度拟人的自动化攻击技术、伪造设备信息的各类改机工具，使得欺诈手段进一步升级，随之而来的便是在线业务欺诈风险骤升。网宿安全团队结合黑灰产跟踪和2023年网宿平台流量分析发现，大量企业正在遭受恶意注册、恶意登录、营销作弊等业务欺诈行为。疫情时代下，越来越多企业通过线上开展及推广业务，因此通过业务欺诈获利生存的黑灰产正将黑手伸向品牌零售、在线电商、数字藏品等各行各业。第三章攻击手段解读3.1利用AP1

14、安全缺陷攻击攻击者常常利用AP1缺陷进而发起的一系列针对AP1业务的破坏：身份验证和访问控制不当身份验证和访问控制是AP1安全的第一道防线，若实现不当，攻击者可以通过绕过或突破运机制，羽g又诙I的非法沅困限。例如，某社交平台的AP1在身份马负更未马佥证请求的来源，攻击者可以使用被盗的凭证进行未授权的访问。盗取敏感信息攻击者通过在未加密传输或未加密存储的数据中查找机密信息，例如用户名、密码和AP1密钥等。据AP1SeCUrity.io统计，数据泄露是AP1安全风险中的第二大问题。一些AP1暴露了过多的数据，包括用户的私人信息和系统配置信息。攻击者可以利用这些信息来发起更有针对性的攻击。因此，AP

15、1应该实现最小化原则，仅向需要数据的应用不呈序提供所需的最少信息。攻击者还可以通过不安全的数据存储可能导致攻击者轻松地窃取和篡改数据。例如，某社交平台的AP1在存储用户个人信息时，没有对密码进行哈希或加密，导致攻击者可以直接访问并窃取用户的密码。根据Verizon的数据泄露引强音，2019年有22%的数据泄露涉及未加密的数据存储。暴力攻击和暴力破攻击者可以通过大量尝试不同的用户名和密码组合的方式，进行暴力攻击和暴力破解。这种攻击方式可以利用AP1的弱点，从而导致帐户被封锁或者被完全控制。例如，2023年3月份，ZOom视频通信平台遭受了大规模暴力攻击，攻击者使用了大量的凭证进行尝试，并成功获取了一些凭证，从而导致了安全漏洞。AP1参数污染攻击通过t改API的参数来修改AP1返回的名高。祖攻声常拉在AP1的曹曾符串、PC)ST数据或者HTTP木圣史，通对t改运参数，攻击可以绕野I的沅巨J控制或者欺马解I的返回名言。重放攻击攻击者可能会利用API服务中的重放攻击漏洞来重复执行之前的请求，从而绕过身份验证或执行未经授权的操作。例如，攻击者可能会重复发送之前的请求来执行恶意操作或窃取数据。必寸此类攻击的关键在于如何有效管控AP1安全风险，通常需要至少覆盖以下几方面：避免出王氏P1安全缺陷：如借