2022年 Web安全观察报告 目录CONTENTS 2022年Web安全观察报告 01 第一章核心发现 1.1.高危Web漏洞持续爆发 02 1.2.API已成为黑产攻击的头号目标 02 1.3.传统WAF防护无法覆盖多样化的安全威胁 02 1.4.WAAP是全面保护Web应用的有效手段 02 第二章主要安全威胁发展趋势 2.1.DDoS攻击规模足以突破大部分防御手段 03 2.2.0day漏洞扩散难以及时控制 03 2.3.API缺乏安全管理体系,成为攻击主要突破口 04 2.4.越来越多攻击从自动化Bot发起 04 2.5.在线业务欺诈风险骤升 06 第三章攻击手段解读 3.1.利用API安全缺陷攻击 06 3.2.利用海量秒拨IP发起低频应用层DDoS攻击 08 3.3.0day漏洞自动化探测绕过WAF防护 09 3.4.手段多变的Bot攻击 10 3.5.欺诈背后的黑灰产业链 11 安全建议 13 2022年Web安全观察报告02 第一章核心发现 1.1.高危Web漏洞持续爆发 2021年底核弹级Log4shell漏洞爆发之后,2022年持续爆发了多个变种漏洞。2022年网宿安全平台共检测到2700万次针对Log4shell各个变种漏洞的利用。此外,2022年又持续爆发了大量新的高危漏洞,包括ApacheFineract路径遍历漏洞、OpenSSL安全漏洞、SQLite输入验证错误漏洞、AtlassianBitbucketServer和BitbucketDataCenter命令注入漏洞、ApacheCommonsBCEL缓冲区错误漏洞等热点漏洞。截至2022年底,CNVD披露的2022年新增漏洞数量为23900个,总漏洞数量相比2021年下降了10.01%,但高危数量相比2021年反而增加了13.07%,说明Web漏洞更加趋向高危级别,威胁态势越来越严峻。 1.2.API已成为黑产攻击的头号目标 互联网数字化时代,越来越多的企业已经在利用API的技术和经济模式来保证竞争力的延续。2022年在网宿CDN平台流通的API请求占全平台请求量的61.3%,随之而来的API攻击也呈现出明显增长趋势,全年针对API的攻击占比首次突破50%,达到了58.4%。Gartner曾预测,“到2022年,API将成为网络攻击者利用最频繁的载体”,现如今已得到验证。 1.3.传统WAF防护无法覆盖多样化的安全威胁 随着企业数字化进程不断推进,企业核心业务在Web、APP、H5、微信等多渠道上,依托于开放API灵活开展,随之而来的Web业务攻击面不断增大,DDoS、漏洞利用、数据爬取、业务欺诈等安全威胁层出不穷,传统WAF难以覆盖如此多样化的威胁。根据网宿安全平台2022年数据显示,同时遇到2种以上威胁的Web业务占比达87%,3种以上占比仍高达65%。 1.4.WAAP是全面保护Web应用的有效手段 2021年,Gartner将多年来发布的WAF魔力象限改为了WAAP魔力象限,将WAAP定义为在提供传统Web安全防御能力的WAF之上扩展为集DDoS防护、Bot流量管理、WAF、API防护于一体的下一代 WEB安全防护解决方案。 2023年,OWASPAPISecurityTop10新增了“API缺少对自动化威胁的保护”,也说明由自动化Bot发起的数据爬取、业务欺诈等威胁必须得到企业重视。 云WAAP方案价值在海外市场和企业中已得到充分验证,网宿安全最早于2017年发布了契合WAAP核心理念的一体化安全加速解决方案,我们认为WAAP是API驱动的数字时代下全面保护Web应用的有效手段。 2022年Web安全观察报告03 2.1. 第二章主要安全威胁发展趋势 DDoS攻击规模足以突破大部分防御手段 宿安全平台日均监测并拦截DDoS攻击事件43.92万次,同比增长103.8%。 DDos攻击事件数量 1月2月3月4月5月6月7月8月9月10月11月12月 万1800 1600 1400 1200 1000 800 600 400 200 0 2022年 2021年 随着互联网不断发展,知名的XorDDoS、Mirai、Gafgyt、Fodchas等僵尸网络的规模也在不断扩张,DDoS攻击规模也随之逐年上升。网宿安全平台2022年数据显示,网宿平台遭遇的DDoS攻击峰值达到2.09Tbps,全年T级以上攻击出现8次,T级攻击已成为家常便饭。同时,攻击发生频率也有明显增长,网 在如此频繁且大规模的攻击面前,基于单一数据中心边界的传统防护手段已无法应对,只有运营商、CDN、云计算这类提供互联网基础设施的厂商具备应对超大规模攻击的清洗能力。 另外,网宿安全团队对僵尸网络持续跟踪发现,多个僵尸网络混合攻击已成为主流的攻击方式,攻击平台可以迅速调动多个僵尸网络的资源,瞬间操控数十万甚至更多的肉鸡IP同时发起攻击,尤其是以此方式发起的极其分散低频的七层DDoS攻击,防护难度极大。 2.2.0day漏洞扩散难以及时控制 0day漏洞公开后,其传播扩散正在变得越来越难以控制。 从漏洞传播速度来看,当前互联网信息传播极快,0day漏洞爆发后第一时间就会出现大量黑客使用批量扫描工具在互联网上进行大规模嗅探,此时如若WAF等设备还未更新防御规则,Web业务则会面临极高的失陷风险。 2022年Web安全观察报告04 从漏洞应对效率来看,面对组件0day漏洞防护,传统防御模式依赖在WAF防护设备上更新规则插件来进行防护。层出不穷的新漏洞和影响持续的旧漏洞,使安全防御规则更新频次越来越高,企业安全运营人员同时要考虑安全性和业务的稳定性,很可能无法决策合理的规则库更新时机;另外,因业务扩展IT体系越来越复杂,防御体系缺乏统一的中心管理,也容易造成部分安全设备游离在边缘,无法及时更新防御规则库,从而带来巨大的安全隐患。 2.3.API缺乏安全管理体系,成为攻击主要突破口 API作为核心业务载体,当前缺乏完善的安全管理体系,成为攻击主要突破口。攻击者可以通过API接口获取敏感数据、篡改数据、甚至直接攻击后端系统,从而对企业造成严重的损失。 首先,API的攻击成本更低。攻击者只需要找到API的接口地址,就可以通过简单的网络请求获取数据或者进行攻击。相比之下,攻击整个网站需要攻击者具备更高的技术水平和更多的时间成本。举例来说,攻击者可以通过API接口获取用户的个人信息、账户余额等敏感数据,从而进行钓鱼诈骗或者直接盗取用户的资金。另外,攻击者还可以通过篡改API返回的数据,对企业的业务造成影响,比如篡改商品价格、库存等信息,导致企业损失惨重。 其次,企业对自己的API资产现状不清,更难保护全量API资产的安全,给业务留下了突破口。数据显示在受访者最关心的API安全问题中,僵尸API以43%占比高居第一,远超过以22%的占比位居第二的账户接管/滥用;还有83%的受访者对组织API资产清单是否完整没有信心。为何企业对僵尸API及API清单完整度有如此大的担忧?安全隐患往往藏于“未知”,未知的僵尸API、未知的影子API、未知的敏感数据暴露等,根源都在于企业对API资产全貌的未知。安全的管理与防护始于“已知”和“可见”,人们难以掌控那些被遗忘的、看不见摸不着的资产安全状况。然而正是这些被人遗忘、不可管控的API,因其往往潜藏着未被修复的漏洞,备受攻击者青睐。 正因企业缺乏对API安全的全面管理,给攻击者留下了可乘之机。例如,2022年6月,持续集成开发工具TravisCI被曝其API允许任何人访问明文历史日志,导致超过7.7亿条用户日志数据泄露,内含73000份令牌、访问密钥和其它云服务凭据;2021年6月,职场社交巨头LinkedIn超7亿用户数据在暗网被公开售卖,数据为黑客利用其API漏洞所得;2020年,美国在线教育平台Chegg遭受黑客攻击,攻击者通过攻击Chegg的API接口获取了4000万客户的个人信息,造成数百万美元的损失。 2.4.越来越多攻击从自动化Bot发起 2022年全年网宿安全平台共监测到1631.85亿次Bot攻击,即平均每秒发生约5175次Bot攻击。与往年相比,攻击量是2021年的1.93倍,2020年的4.55倍。 Bot攻击次数 2022年 2021年 2020年 1600 1200 800 400 0 亿次 每月的恶意Bots访问量居高不下 2022年Web安全观察报告05 善意Bots 恶意Bots人类访问 亿次300 200 100 01月2月3月4月5月6月7月8月9月10月11月12月 软件信息服务、交通运输、生活服务是Bot攻击的三大重灾区 从细分行业来看,受Bot攻击最严重的三大行业为软件信息服务、交通运输、生活服务,都是与当代人们生 Web业务的非人类访问量一直保持在40%左右,而其中绝大部分来自恶意Bots。 活息息相关的行业。排名前三的行业受Bot攻击总量超过一半。 2022年Web安全观察报告06 Bot攻击更隐蔽 Bot攻击目标行业分布 软件信息服务:31.2%交通运输:14.7% 生活服务:11.2%零售业:8.73% 互联网金融:8.36%其他:25.7% 对海量的Bot攻击数据进行汇总分析,我们发现Bot攻击手段越来越来隐蔽。比如:通过伪造正常的User-Agent和使用模拟正常浏览器的自动化框架发起攻击。另外,Bot更偏向于伪造一个看似合法的User-Agent值或者伪装成善意搜索引擎爬虫,来迷惑固定规则类的检测方案,以绕过传统防护方案的“重重围堵”。 2.5.在线业务欺诈风险骤升 随着企业的数字化转型,大量线下业务加速转移到线上,流量模式成为大势所趋,H5、小程序愈加普及,同时,企业开展线上业务,需要大量使用API共享数据、算法、交易、流程等业务功能,由此成为了网络攻击的重点目标,攻击所导致的数据泄露,同时为黑产提供了大量的账号、手机号、身份信息、银行卡号等基础物料资源。在大量的黑产资源下,超200万的黑产从业人员通过批量的高度拟人的自动化攻击技术、伪造设备信息的各类改机工具,使得欺诈手段进一步升级,随之而来的便是在线业务欺诈风险骤升。 网宿安全团队结合黑灰产跟踪和2022年网宿平台流量分析发现,大量企业正在遭受恶意注册、恶意登录、营销作弊等业务欺诈行为。疫情时代下,越来越多企业通过线上开展及推广业务,因此通过业务欺诈获利生存的黑灰产正将黑手伸向品牌零售、在线电商、数字藏品等各行各业。 第三章攻击手段解读 3.1.利用API安全缺陷攻击 攻击者常常利用API缺陷进而发起的一系列针对API业务的破坏: 2022年Web安全观察报告07 身份验证和访问控制不当 身份验证和访问控制是API安全的第一道防线,若实现不当,攻击者可以通过绕过或突破这些机制,获取对API的非法访问权限。例如,某社交平台的API在身份验证中未验证请求的来源,攻击者可以使用被盗的凭证进行未授权的访问。 盗取敏感信息 攻击者通过在未加密传输或未加密存储的数据中查找机密信息,例如用户名、密码和API密钥等。据APIsecurity.io统计,数据泄露是API安全风险中的第二大问题。 一些API暴露了过多的数据,包括用户的私人信息和系统配置信息。攻击者可以利用这些信息来发起更有针对性的攻击。因此,API应该实现最小化原则,仅向需要数据的应用程序提供所需的最少信息。 攻击者还可以通过不安全的数据存储可能导致攻击者轻松地窃取和篡改数据。例如,某社交平台的API在存储用户个人信息时,没有对密码进行哈希或加密,导致攻击者可以直接访问并窃取用户的密码。根据Verizon的数据泄露调查报告,2019年有22%的数据泄露涉及未加密的数据存储。 暴力攻击和暴力破解 攻击者可以通过大量尝试不同的用户名和密码组合的方式,进行暴力攻击和暴力破解。这种攻击方式可以利用API的弱点,从而导致帐户被封锁或者被完全控制。例如,2020年3月份