查看原文
其他

网络犯罪团伙加紧API攻击脚步

nana 数世咨询 2022-06-12

Web攻击在2021年6月飙升至顶峰,单日攻击数量高达1.138亿次


研究人员报告称,Web应用攻击持续增多,其中大部分恶意活动针对Web应用编程接口展开。


10月27日,互联网安全公司阿卡迈指出了Web API所面临的攻击面增长问题。研究人员实际上并没有区分针对Web应用的攻击和专门使用Web API的攻击,但认为针对Web应用的攻击增长主要源自应用服务器暴露的API。阿卡迈的报告揭示,SQL注入、本地文件包含和跨站脚本这三大Web攻击途径占所有Web攻击的近95%,且常常通过API执行。


阿卡迈安全研究员称,开发人员纷纷采用API构建移动应用、Web应用和云应用的时候,他们常常没有考虑到安全问题。


“Web应用安全人员在十年前就吃到的教训,如今我们在API安全领域又看到了。API本是为了增加可用性和实现大规模访问的。因为易于部署,开发人员真的非常喜欢在所有能用的地方都使用API,但随着API逐渐统治我们的生活,我们也应该关注API安全了。”


Web API不断增长的攻击面并没有被忽视。阿卡迈的报告显示,市场研究公司Gartner认为,90%的Web应用更容易遭遇通过暴露出来的API发起的攻击而不是经由用户界面发起的攻击。API安全公司Salt Labs发布的另一份报告称,今年上半年API流量整体增长了140%以上,但恶意API流量增长得更快,接近350%。


由于攻击者越来越多地利用Web API,开放Web应用安全项目(OWASP)发布了2019年十大API安全问题列表。在许多方面,此列表中的问题反映了更为人所知的OWASP十大Web应用安全风险榜单上的问题。


软件安全公司Veracode首席研究官Chris Eng在报告的一篇文章中称:“[十大API安全列表]旨在解决API的‘独特漏洞和安全风险’,但仔细观察,你会发现这些Web漏洞完全一样,只是顺序略有不同,描述稍有差异 。我们在API安全方面犯的错误,与20年前我们在网络安全方面所犯过的毫无二致。”


阿卡迈报告显示,过去18个月中,日Web应用攻击增长缓慢,2021年6月出现明显峰值,单日攻击超过1.13亿次。此外,攻击者尝试以被盗或可猜解凭证登录的凭证滥用攻击,其平均数量在过去18个月中增加了两倍。很多此类攻击都可以通过应用的API执行。


Ragan表示:“未来你将看到,攻击者找寻进入企业网络的入口时,他们会首先扫描API。在执行凭证填充攻击时,他们也会使用API,而且这种事情大多没有频率限制,所以你会看到无限次的猜解。”


根据阿卡迈的报告,多项调查显示开发人员更专注于让API正常工作,而不是确保这些接口安全。Veracode赞助企业战略集团(ESG)完成的一份报告显示,大约一半的软件开发团队定期推出已知存在漏洞的代码,其中半数团队表示这是因为需要赶最后期限,而且稍后会修补该功能。


“不要无视漏洞,不要忽略测试,不要硬编码密码和令牌。这些都是最基本的安全原则,但你现在仍然能看到这些问题。我们现在看到的很多问题都是多年前就经历过的,而这是完全可以避免的。”


除了针对API和Web应用的攻击,阿卡迈还发现,2021年上半年,凭证填充攻击增加至每天平均约8亿次虚假登录尝试,其中有几天甚至出现了10亿次登录尝试。


分布式拒绝服务(DDoS)攻击也见长:今年1月,阿卡迈单日录得190起DDoS事件,不过,6月份攻击数量有所下降。


美国的网络和系统所遭受的攻击数量是第二大目标国家英国的六倍。与此同时,美国也是最大的攻击来源国,从美国发起的攻击数量是第二大来源国俄罗斯的四倍。


阿卡迈《API:连接你我的攻击面》报告:

https://www.akamai.com/content/dam/site/en/documents/state-of-the-internet/soti-security-api-the-attack-surface-that-connects-us-all.pdf


Salt Labs《API安全状况》报告:

https://salt.security/api-security-trends


OWASP《2019年十大API安全问题》报告:

https://www.darkreading.com/application-security/apis-get-their-own-top-10-security-list



参考阅读

API安全成企业当务之急

API安全测试:主动识别API漏洞

[调查]API安全成为威胁新趋势

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存