威胁聚焦：攻击者目前如何针对您的 Web 应用程序

针对 Web 应用程序和应用程序编程接口 (API) 的攻击数量显着增加。梭子鱼在 2023 年期间缓解了超过 180 亿次针对应用程序的攻击，其中仅 12 月份就减少了 17.16 亿次。  

Web 应用程序是通过 Web 浏览器访问的计算机程序。 Microsoft 365 和 Google Docs/Gmail 就是很好的例子。 Web 应用程序提供了许多商业优势，例如速度、兼容性和可扩展性。

他们也是网络攻击的主要目标。根据最新的DBIR，Web 应用程序是 2023 年的首要行动媒介，80% 的事件和 60% 的违规事件均使用 Web 应用程序。

为什么 Web 应用程序是攻击的首要目标

主要有两个原因。首先，许多 Web 应用程序都存在漏洞或配置错误。其次，许多数据包含极其有价值的信息，例如个人和财务数据，成功入侵将使攻击者能够直接访问这些数据。 Barracuda研究表明，40% 参与过道德黑客攻击的 IT 专业人士认为，网络应用程序攻击是网络攻击者最有利可图的方式之一，55% 的人对 API 也持相同看法。

针对 Web 应用程序的顶级 OWASP 攻击

为了了解攻击者将时间和资源集中在哪里，我们深入研究了梭子鱼应用安全在 2023 年 12 月检测和缓解的 Web 应用程序事件。

我们重点关注开放全球应用程序安全项目(OWASP) 识别的攻击。

这是我们发现的：

• 针对 Web 应用程序的所有攻击中有 30% 针对安全错误配置，例如编码和实施错误。

• 21% 涉及代码注入。这些不仅仅是SQL 注入（通常旨在窃取、破坏或操纵数据）。Log4Shell 和LDAP 注入攻击也很流行。组织使用 LDAP 进行权限管理、资源管理和访问控制，例如支持应用程序的单点登录 (SSO)。

OWASP Top 10列表每年更新一次。值得注意的是，近期 OWASP Top 10 列表发生了一些变化。这些主要涉及将“顶级”攻击策略整合到其他类别中。示例包括跨站点脚本（XSS）和跨站点请求伪造（CSRF），它们使攻击者能够窃取数据或诱骗受害者执行他们不打算执行的操作。这两种策略至今仍在大量使用。特别是，XSS 被入门级错误赏金猎人或试图闯入网络的黑客广泛使用。

小心机器人

梭子鱼的反僵尸网络检测数据显示，2023 年 12 月，大多数（53%）针对 Web 应用程序的机器人攻击都是分布式拒绝服务（DDoS）攻击。

大规模 DDoS 攻击通常由连接设备 (IoT) 的庞大僵尸网络发起。这些攻击基于暴力技术，用数据包淹没目标以耗尽带宽和资源。值得注意的是，此类攻击可以用作针对网络的更严重和有针对性的攻击的 掩护。

数据还显示，大约三分之一 (34%) 的机器人攻击是针对特定应用程序的应用程序 DDoS 攻击，5% 是机器人驱动的帐户接管尝试。

机器学习和梭子鱼的特权帐户保护功能可检测帐户接管攻击。特权帐户保护检查登录模式以检测异常并向安全管理员发出可能构成攻击的任何异常活动的警告。这意味着事件可以在早期阶段被阻止。

易受攻击且过时的应用程序组件

应用程序中易受攻击和过时的组件是不断送给攻击者的礼物。 2021 年以来的 ProxyShell 漏洞复合体不断被利用，导致了包括勒索软件在内的一系列引人注目的漏洞。

有一些较旧的、不太突出的漏洞不时成为威胁行为者的攻击目标，例如当前的Androxgh0st 恶意软件，美国网络安全和基础设施局 (CISA) 于 2024 年 1 月 16 日针对该恶意软件发出了警告。

在过去几个月中，在大量探测梭子鱼安装的过程中发现了以下常见漏洞和暴露 (CVE)。这些图表显示，所有这些漏洞的扫描尝试几乎在同一时间开始，具有相似的峰值——表明正在进行单一或协调的攻击活动。

CVE-2017-9814是一个高严重性 (7.5) 漏洞，使攻击者能够实施拒绝服务攻击。该漏洞于2023年被修改。

CVE-2018-151333是Laravel框架中的一个高严重性（8.1）远程代码执行漏洞，最近也已被修改。

CVE-2021-41773是一个高严重性 (7.5) Apache HTTP 服务器漏洞，也在 2023 年进行了修改。  

扫描的来源

这些是对这些漏洞进行扫描的国家/地区。 

有趣的是，被封锁的 Tor IP 数量以及美国的数量略高。来自美国的扫描比例很高可能反映了这样一个事实：许多攻击来自美国的公共服务器。

随着时间的推移，看到区域变化也很有趣。 12 月初，Tor 跻身前 5 个“区域”之列，但随着月份的推移，它从名单上掉了下来 - 可能是因为 Tor 被完全屏蔽的频率很高。

滤除噪音

我们的日志分析揭示了攻击者进行的探测或扫描与背景噪音的比例。

在这种情况下，背景噪声是各种 CERT、Shodan 等相对良性的扫描，而攻击流量则代表攻击者（自动或以其他方式）尝试执行实际攻击。在这三个漏洞的情况下，有效攻击流量与扫描流量的比率要高得多。

保护您的应用程序

如上所述，Web 应用程序和 API 是网络犯罪分子利润丰厚的攻击媒介，而且它们正受到越来越多的攻击。

防御者很难跟上不断增加的漏洞数量。他们必须应对零日漏洞和旧漏洞。关键应用程序的软件供应链也可能存在漏洞——Log4Shell 漏洞就证明了这一点。

攻击者通常会针对安全团队忘记的旧漏洞，尝试破坏被忽视、未修补的应用程序，然后传播到网络中。

梭子鱼如何提供帮助

将应用程序保护视为防御性“洋葱”——具有多个层来检测并防止事件升级。梭子鱼应用程序保护涵盖了防御策略的多个部分，提供 Web 应用程序和 API 保护、DDoS 保护、机器人保护（包括帐户接管保护）等等。如需 30 天免费试用，请单击此处。您还可以在此处安排演示。