掀開(kāi)Web應(yīng)用程序和API攻擊武器庫(kù)的一角

相比金融、醫(yī)療等行業(yè)，商業(yè)領(lǐng)域較少受到嚴(yán)格監(jiān)管，安全挑戰(zhàn)較為獨(dú)特。如負(fù)責(zé)保護(hù)復(fù)雜基礎(chǔ)架構(gòu)和大量敏感數(shù)據(jù)的安全團(tuán)隊(duì)的預(yù)算有限，以及威脅面加速擴(kuò)大。

近期，Akamai發(fā)布了新一期的《商業(yè)行業(yè)的威脅趨勢(shì)分析》云安全報(bào)告，充分探尋攻擊者在商業(yè)領(lǐng)域發(fā)起的多種攻擊類(lèi)別，以及商業(yè)類(lèi)客戶成為高頻攻擊目標(biāo)的演化趨勢(shì)。

報(bào)告要點(diǎn)搶先看！

Web應(yīng)用程序和API攻擊高達(dá)140多億次，商業(yè)領(lǐng)域仍是攻擊重災(zāi)區(qū)

使用第三方腳本存在高風(fēng)險(xiǎn)，如遭受Magecart攻擊造成支付信息失竊

惡意爬蟲(chóng)程序請(qǐng)求大幅增加，攻擊者會(huì)發(fā)起撞庫(kù)攻擊和帳戶接管等攻擊

風(fēng)向轉(zhuǎn)變，LFI攻擊持續(xù)霸榜

結(jié)合新一期《互聯(lián)網(wǎng)現(xiàn)狀/安全性》報(bào)告，Akamai云安全研究團(tuán)隊(duì)發(fā)現(xiàn)在商業(yè)領(lǐng)域中，與酒店&旅游業(yè)相比，零售業(yè)受到了更大威脅沖擊。本地文件包含（LFI）已大幅超過(guò)跨站腳本（XSS）等攻擊類(lèi)別。

LFI占據(jù)Web應(yīng)用程序和API攻擊“半邊天”

（2022.1.1-2023.3.31）

發(fā)起LFI攻擊的黑客，首先從對(duì)用戶輸入進(jìn)行充分篩選或驗(yàn)證的應(yīng)用程序著手識(shí)別；然后，黑客使用“../”指令或其他方式確認(rèn)目錄遍歷的能力。下一步，黑客可能會(huì)滲透數(shù)據(jù)，或者將惡意腳本上傳到主機(jī)服務(wù)器。

LFI攻擊活動(dòng)數(shù)量的增幅超過(guò)300%

LFI漏洞，正倒逼企業(yè)加強(qiáng)驗(yàn)證自身的安全控制。Akamai建議企業(yè)使用如Zero Trust微分段等框架，盡可能降低獲得訪問(wèn)權(quán)限LFI攻擊的影響，將網(wǎng)絡(luò)擊殺鏈與MITRE ATT&CK相結(jié)合，升級(jí)安全策略，并借助Akamai安全運(yùn)營(yíng)中心（SOC）及時(shí)保障風(fēng)險(xiǎn)緩解。

腳本風(fēng)險(xiǎn)，嚴(yán)重影響支付安全

商業(yè)領(lǐng)域中，應(yīng)用于支付、聊天、指標(biāo)跟蹤等場(chǎng)景的第三方腳本，正在成為黑客們的攻擊切入點(diǎn)，攻擊者只需修改第三方資源，即可將惡意代碼注入目標(biāo)站點(diǎn)。如果腳本使用了易受攻擊的庫(kù)，每個(gè)使用它的網(wǎng)站都可能面臨被入侵的風(fēng)險(xiǎn)。

用于商業(yè)網(wǎng)站的客戶端腳本，有一半來(lái)自第三方供應(yīng)商

在供應(yīng)鏈攻擊中，安全漏洞正在成為黑客滲透到更有利可圖目標(biāo)的墊腳石。攻擊組織可能通過(guò)利用第三方資源訪問(wèn)敏感的信息，繞過(guò)已充分布防的安全屏障。殺傷力上，Magecart攻擊將大面積威脅用戶的支付賬戶與個(gè)人敏感信息。

三種常見(jiàn)Magecart攻擊方式

直接注入

利用網(wǎng)站漏洞注入惡意代碼，如攻擊者通過(guò)電子商務(wù)服務(wù)平臺(tái)對(duì)網(wǎng)站發(fā)起攻擊

篡改代碼

利用漏洞編輯惡意代碼，或?qū)阂獯a添加到第三方供應(yīng)商腳本，以侵入目標(biāo)網(wǎng)站

借助于域

購(gòu)買(mǎi)已棄用的服務(wù)/供應(yīng)商的域，并將惡意代碼加載到此類(lèi)域仍在運(yùn)行的網(wǎng)站

惡意搶購(gòu)，客戶體驗(yàn)遭受侵害

針對(duì)商業(yè)垂直行業(yè)的惡意爬蟲(chóng)程序活動(dòng)正在增加，超過(guò)15個(gè)月內(nèi)觀察到5萬(wàn)億個(gè)請(qǐng)求。攻擊者利用機(jī)器人的大量用例，是進(jìn)行欺詐和其他惡意攻擊嘗試。即便是非惡意的爬蟲(chóng)出現(xiàn)，也會(huì)有損網(wǎng)站性能，或進(jìn)行價(jià)格抓取，加強(qiáng)受眾劫持策略。

惡意機(jī)器人請(qǐng)求總數(shù)，超過(guò)5萬(wàn)億

（2022.1.1-2023.3.31）

值得重視的是，僵尸網(wǎng)絡(luò)高頻應(yīng)用于惡意搶購(gòu)。此類(lèi)案例中，黃牛黨泛濫于票務(wù)和運(yùn)動(dòng)鞋零售商的電商渠道，黃牛黨可能會(huì)設(shè)計(jì)和開(kāi)發(fā)自己的僵尸網(wǎng)絡(luò)，或干脆購(gòu)買(mǎi)市場(chǎng)上可用的機(jī)器人產(chǎn)品，增加線上秒殺的成功率。

黃牛黨的暗箱操作

1.定位目標(biāo)網(wǎng)站特定產(chǎn)品

部署、配置僵尸網(wǎng)絡(luò)后，黃牛黨即可定位目標(biāo)網(wǎng)站，抓取爆款產(chǎn)品列表，鎖定待秒殺產(chǎn)品

2.集成數(shù)據(jù)至數(shù)據(jù)庫(kù)

將收集到的數(shù)據(jù)發(fā)送到數(shù)據(jù)庫(kù)，根據(jù)預(yù)定義標(biāo)準(zhǔn)以及產(chǎn)品結(jié)果找到的站點(diǎn)，返回給運(yùn)營(yíng)商

3.自動(dòng)化進(jìn)行高價(jià)轉(zhuǎn)售

借助自動(dòng)化技術(shù)加速秒殺，采取多賬戶提升隱蔽度，搶購(gòu)更大庫(kù)存，得手后以高溢價(jià)售出

回?fù)敉{，加深WAAP防護(hù)

透過(guò)Akamai云安全實(shí)時(shí)威脅監(jiān)測(cè)來(lái)看，全球不同行業(yè)中都在發(fā)生惡意軟件和監(jiān)管環(huán)境的風(fēng)向轉(zhuǎn)變，企業(yè)安全團(tuán)隊(duì)亟需深入關(guān)注邊緣區(qū)域，通過(guò)檢查日志重點(diǎn)跟進(jìn)LFI攻擊、服務(wù)器端請(qǐng)求偽造和服務(wù)器端代碼注入等攻擊技術(shù)。

面臨愈演愈烈的惡意搶購(gòu)以及Magecart攻擊威脅，Akamai建議企業(yè)組織采用Akamai Page Integrity Manager解決方案，進(jìn)行頁(yè)面完整性管理，持續(xù)分析第一方和第三方URL，查找常見(jiàn)漏洞和風(fēng)險(xiǎn)；同時(shí)借助Akamai App&API Protector基于云的WAAP解決方案和Akamai Neosec API行為分析層面的精細(xì)化檢測(cè)，深度抵御Web應(yīng)用程序和API攻擊風(fēng)險(xiǎn)。