Akamai钻过安全漏洞-应用程序和API攻击呈上升趋势202431页

钻过安全漏洞：第 9 卷，第 2 期 SOTI1[互联网现状]第 9 卷，第 2 期应用程序和 API 攻击呈上升趋势钻过安全漏洞：第 9 卷，第 2 期 SOTI1目录漏洞频现的一年Web 应用程序和 API 流量分析 数字化时代的应用程序和 API 攻击风险：对不同行业的攻击有何不同留意（安全）缺口： API 攻击研究引发对风险的关注结语和更多建议：填堵边缘缺口方法致谢名单2414202829301钻过安全漏洞：第 9 卷，第 2 期 SOTI钻过安全漏洞：第 9 卷，第 2 期 SOTI2漏洞频现的一年 Log4Shell 和 Spring4Shell 等重大漏洞的出现印证了 Web 应用程序和 API 所带来的严重风险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多 Web 应用程序。平均而言，每家企业使用的应用程序数量已经达到了 1061 个，充分体现出这一攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。 2022 年，应用程序和 API 攻击数量创下新高。2021 年末，Log4Shell 爆出后不久，企业就发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：Atlassian Confluence 漏洞 (CVE-2022-26134)、ProxyNotShell 漏洞 (CVE-2022–41040) 和 Spring4Shell/SpringShell (CVE-2022-22965) 等。API 漏洞利用攻击的数量不断增加，即将发布的新版开放式 Web 应用程序安全项目 (OWASP) API 十大安全漏洞已将 API 漏洞纳入其中，这表示 API 安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击面。例如，攻击者团体使用 Web shell（例如 China Chopper）发动高度有针对性的攻击，比如 Hafnium 团体就曾对美国的国防和教育机构发起过此类攻击。此外，服务器端模板注入 (SSTI) 和服务器端代码注入有可能导致远程代码执行 (RCE) 和数据渗漏，给业务带来严重威胁。近期的一个例子是在 VMwa