2022年Web安全觀察報(bào)告

2022年Web安全觀察報(bào)告2022年Web安全觀察報(bào)告01目錄CONTENTS第一章核心發(fā)現(xiàn)1.1.

高危Web漏洞持續(xù)爆發(fā)021.2.

API已成為黑產(chǎn)攻擊的頭號目標(biāo)1.3.

傳統(tǒng)WAF防護(hù)無法覆蓋多樣化的安全威脅1.4.

WAAP是全面保護(hù)Web應(yīng)用的有效手段020202第二章主要安全威脅發(fā)展趨勢2.1.

DDoS攻擊規(guī)模足以突破大部分防御手段2.2.

0day漏洞擴(kuò)散難以及時(shí)控制03030404062.3.

API缺乏安全管理體系，成為攻擊主要突破口2.4.

越來越多攻擊從自動化Bot發(fā)起2.5.

在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升第三章攻擊手段解讀3.1.

利用API安全缺陷攻擊06080910113.2.

利用海量秒撥IP發(fā)起低頻應(yīng)用層DDoS攻擊3.3.

0day漏洞自動化探測繞過WAF防護(hù)3.4.

手段多變的Bot攻擊3.5.

欺詐背后的黑灰產(chǎn)業(yè)鏈安全建議132022年Web安全觀察報(bào)告02第一章

核心發(fā)現(xiàn)1.1.

高危Web漏洞持續(xù)爆發(fā)2021年底核彈級Log4shell漏洞爆發(fā)之后，2022年持續(xù)爆發(fā)了多個(gè)變種漏洞。2022年網(wǎng)宿安全平臺共檢測到2700萬次針對Log4shell各個(gè)變種漏洞的利用。此外，2022年又持續(xù)爆發(fā)了大量新的高危漏洞，包括Apache

Fineract路徑遍歷漏洞、OpenSSL安全漏洞、SQLite輸入驗(yàn)證錯(cuò)誤漏洞、Atlassian

BitbucketServer和Bitbucket

Dat

a

Center命令注入漏洞、

Apache

Commons

BCEL緩沖區(qū)錯(cuò)誤漏洞等熱點(diǎn)漏洞。截至2022年底，CNVD披露的2022年新增漏洞數(shù)量為23900個(gè)，總漏洞數(shù)量相比2021年下降了10.01%，但高危數(shù)量相比2021年反而增加了13.07%，說明Web漏洞更加趨向高危級別，威脅態(tài)勢越來越嚴(yán)峻。1.2.

API已成為黑產(chǎn)攻擊的頭號目標(biāo)互聯(lián)網(wǎng)數(shù)字化時(shí)代，越來越多的企業(yè)已經(jīng)在利用API的技術(shù)和經(jīng)濟(jì)模式來保證競爭力的延續(xù)。2022年在網(wǎng)宿CDN平臺流通的API請求占全平臺請求量的61.3%，隨之而來的API攻擊也呈現(xiàn)出明顯增長趨勢，全年針對API的攻擊占比首次突破50%，達(dá)到了58.4%。Gartner曾預(yù)測，“到2022年，API將成為網(wǎng)絡(luò)攻擊者利用最頻繁的載體”，現(xiàn)如今已得到驗(yàn)證。1.3.

傳統(tǒng)WAF防護(hù)無法覆蓋多樣化的安全威脅隨著企業(yè)數(shù)字化進(jìn)程不斷推進(jìn)，企業(yè)核心業(yè)務(wù)在Web、APP、H5、微信等多渠道上，依托于開放API靈活開展，隨之而來的Web業(yè)務(wù)攻擊面不斷增大，DDoS、漏洞利用、數(shù)據(jù)爬取、業(yè)務(wù)欺詐等安全威脅層出不窮，傳統(tǒng)WAF難以覆蓋如此多樣化的威脅。根據(jù)網(wǎng)宿安全平臺2022年數(shù)據(jù)顯示，同時(shí)遇到2種以上威脅的Web業(yè)務(wù)占比達(dá)87%，3種以上占比仍高達(dá)65%。1.4.

WAAP是全面保護(hù)Web應(yīng)用的有效手段2021年，Gartner將多年來發(fā)布的WAF魔力象限改為了WAAP魔力象限，將WAAP定義為在提供傳統(tǒng)Web安全防御能力的WAF之上擴(kuò)展為集DDoS防護(hù)、Bot流量管理、WAF、API防護(hù)于一體的下一代WEB安全防護(hù)解決方案。2023年，OWASP

API

Security

Top

10新增了“API缺少對自動化威脅的保護(hù)”，也說明由自動化Bot發(fā)起的數(shù)據(jù)爬取、業(yè)務(wù)欺詐等威脅必須得到企業(yè)重視。云WAAP方案價(jià)值在海外市場和企業(yè)中已得到充分驗(yàn)證，網(wǎng)宿安全最早于2017年發(fā)布了契合WAAP核心理念的一體化安全加速解決方案，我們認(rèn)為WAAP是API驅(qū)動的數(shù)字時(shí)代下全面保護(hù)Web應(yīng)用的有效手段。2022年Web安全觀察報(bào)告03第二章

主要安全威脅發(fā)展趨勢2.1.

DDoS攻擊規(guī)模足以突破大部分防御手段隨著互聯(lián)網(wǎng)不斷發(fā)展，知名的XorDDoS、Mirai、Gafgyt、Fodchas等僵尸網(wǎng)絡(luò)的規(guī)模也在不斷擴(kuò)張，DDoS攻擊規(guī)模也隨之逐年上升。網(wǎng)宿安全平臺2022年數(shù)據(jù)顯示，網(wǎng)宿平臺遭遇的DDoS攻擊峰值達(dá)到2.09Tbps，全年T級以上攻擊出現(xiàn)8次，T級攻擊已成為家常便飯。同時(shí)，攻擊發(fā)生頻率也有明顯增長，網(wǎng)宿安全平臺日均監(jiān)測并攔截DDoS攻擊事件43.92萬次，同比增長103.8%。2021年2022年萬1800160014001200100080060040020001月

2月3月

4月

5月

6月7月

8月

9月

10月

11月

12月DDos攻擊事件數(shù)量在如此頻繁且大規(guī)模的攻擊面前，基于單一數(shù)據(jù)中心邊界的傳統(tǒng)防護(hù)手段已無法應(yīng)對，只有運(yùn)營商、CDN、云計(jì)算這類提供互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的廠商具備應(yīng)對超大規(guī)模攻擊的清洗能力。另外，網(wǎng)宿安全團(tuán)隊(duì)對僵尸網(wǎng)絡(luò)持續(xù)跟蹤發(fā)現(xiàn)，多個(gè)僵尸網(wǎng)絡(luò)混合攻擊已成為主流的攻擊方式，攻擊平臺可以迅速調(diào)動多個(gè)僵尸網(wǎng)絡(luò)的資源，瞬間操控?cái)?shù)十萬甚至更多的肉雞IP同時(shí)發(fā)起攻擊，尤其是以此方式發(fā)起的極其分散低頻的七層DDoS攻擊，防護(hù)難度極大。2.2.

0day漏洞擴(kuò)散難以及時(shí)控制0day漏洞公開后，其傳播擴(kuò)散正在變得越來越難以控制。從漏洞傳播速度來看，當(dāng)前互聯(lián)網(wǎng)信息傳播極快，0day漏洞爆發(fā)后第一時(shí)間就會出現(xiàn)大量黑客使用批量掃描工具在互聯(lián)網(wǎng)上進(jìn)行大規(guī)模嗅探，此時(shí)如若WAF等設(shè)備還未更新防御規(guī)則，Web業(yè)務(wù)則會面臨極高的失陷風(fēng)險(xiǎn)。2022年Web安全觀察報(bào)告04從漏洞應(yīng)對效率來看，面對組件0day漏洞防護(hù)，傳統(tǒng)防御模式依賴在WAF防護(hù)設(shè)備上更新規(guī)則插件來進(jìn)行防護(hù)。層出不窮的新漏洞和影響持續(xù)的舊漏洞，使安全防御規(guī)則更新頻次越來越高，企業(yè)安全運(yùn)營人員同時(shí)要考慮安全性和業(yè)務(wù)的穩(wěn)定性，很可能無法決策合理的規(guī)則庫更新時(shí)機(jī)；另外，因業(yè)務(wù)擴(kuò)展IT體系越來越復(fù)雜，防御體系缺乏統(tǒng)一的中心管理，也容易造成部分安全設(shè)備游離在邊緣，無法及時(shí)更新防御規(guī)則庫，從而帶來巨大的安全隱患。2.3.

API缺乏安全管理體系，成為攻擊主要突破口API作為核心業(yè)務(wù)載體，當(dāng)前缺乏完善的安全管理體系，成為攻擊主要突破口。攻擊者可以通過API接口獲取敏感數(shù)據(jù)、篡改數(shù)據(jù)、甚至直接攻擊后端系統(tǒng)，從而對企業(yè)造成嚴(yán)重的損失。首先，API的攻擊成本更低。攻擊者只需要找到API的接口地址，就可以通過簡單的網(wǎng)絡(luò)請求獲取數(shù)據(jù)或者進(jìn)行攻擊。相比之下，攻擊整個(gè)網(wǎng)站需要攻擊者具備更高的技術(shù)水平和更多的時(shí)間成本。舉例來說，攻擊者可以通過API接口獲取用戶的個(gè)人信息、賬戶余額等敏感數(shù)據(jù)，從而進(jìn)行釣魚詐騙或者直接盜取用戶的資金。另外，攻擊者還可以通過篡改API返回的數(shù)據(jù)，對企業(yè)的業(yè)務(wù)造成影響，比如篡改商品價(jià)格、庫存等信息，導(dǎo)致企業(yè)損失慘重。其次，企業(yè)對自己的API資產(chǎn)現(xiàn)狀不清，更難保護(hù)全量API資產(chǎn)的安全，給業(yè)務(wù)留下了突破口。數(shù)據(jù)顯示在受訪者最關(guān)心的API安全問題中，僵尸API以43%占比高居第一,遠(yuǎn)超過以22%的占比位居第二的賬戶接管/濫用；還有83%的受訪者對組織API資產(chǎn)清單是否完整沒有信心。為何企業(yè)對僵尸API及API清單完整度有如此大的擔(dān)憂？安全隱患往往藏于“未知”，未知的僵尸API、未知的影子API、未知的敏感數(shù)據(jù)暴露等，根源都在于企業(yè)對API資產(chǎn)全貌的未知。安全的管理與防護(hù)始于“已知”和“可見”，人們難以掌控那些被遺忘的、看不見摸不著的資產(chǎn)安全狀況。然而正是這些被人遺忘、不可管控的API，因其往往潛藏著未被修復(fù)的漏洞，備受攻擊者青睞。正因企業(yè)缺乏對API安全的全面管理，給攻擊者留下了可乘之機(jī)。例如，2022年6月，持續(xù)集成開發(fā)工具Travis

CI被曝其API允許任何人訪問明文歷史日志，導(dǎo)致超過

7.7

億條用戶日志數(shù)據(jù)泄露，內(nèi)含73000份令牌、訪問密鑰和其它云服務(wù)憑據(jù)；2021年6月，職場社交巨頭LinkedIn超7億用戶數(shù)據(jù)在暗網(wǎng)被公開售賣，數(shù)據(jù)為黑客利用其API漏洞所得；2020年，美國在線教育平臺Chegg遭受黑客攻擊，攻擊者通過攻擊Chegg的API接口獲取了4000萬客戶的個(gè)人信息，造成數(shù)百萬美元的損失。2.4.

越來越多攻擊從自動化Bot發(fā)起2022年全年網(wǎng)宿安全平臺共監(jiān)測到1631.85億次Bot攻擊，即平均每秒發(fā)生約5175次Bot攻擊。與往年相比，攻擊量是2021年的1.93倍，2020年的4.55倍。2022年Web安全觀察報(bào)告05億次1600120080040002020年2021年2022年Bot攻擊次數(shù)每月的惡意Bots訪問量居高不下Web業(yè)務(wù)的非人類訪問量一直保持在40%左右，而其中絕大部分來自惡意Bots。善意Bots惡意Bots人類訪問億次

30020010001月2月3月4月5月6月7月8月9月10月11月12月軟件信息服務(wù)、交通運(yùn)輸、生活服務(wù)是Bot攻擊的三大重災(zāi)區(qū)從細(xì)分行業(yè)來看，受Bot攻擊最嚴(yán)重的三大行業(yè)為軟件信息服務(wù)、交通運(yùn)輸、生活服務(wù)，都是與當(dāng)代人們生活息息相關(guān)的行業(yè)。排名前三的行業(yè)受Bot攻擊總量超過一半。2022年Web安全觀察報(bào)告06軟件信息服務(wù)：31.2%交通運(yùn)輸：14.7%生活服務(wù)：11.2%零售業(yè)：8.73%互聯(lián)網(wǎng)金融：8.36%其他：25.7%Bot攻擊目標(biāo)行業(yè)分布Bot攻擊更隱蔽對海量的Bot攻擊數(shù)據(jù)進(jìn)行匯總分析，我們發(fā)現(xiàn)Bot攻擊手段越來越來隱蔽。比如：通過偽造正常的User-Agent和使用模擬正常瀏覽器的自動化框架發(fā)起攻擊。另外，Bot更偏向于偽造一個(gè)看似合法的User-Agent值或者偽裝成善意搜索引擎爬蟲，來迷惑固定規(guī)則類的檢測方案，以繞過傳統(tǒng)防護(hù)方案的“重重圍堵”。2.5.

在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升隨著企業(yè)的數(shù)字化轉(zhuǎn)型，大量線下業(yè)務(wù)加速轉(zhuǎn)移到線上，流量模式成為大勢所趨，H5、小程序愈加普及，同時(shí)，企業(yè)開展線上業(yè)務(wù)，需要大量使用API共享數(shù)據(jù)、算法、交易、流程等業(yè)務(wù)功能，由此成為了網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，攻擊所導(dǎo)致的數(shù)據(jù)泄露，同時(shí)為黑產(chǎn)提供了大量的賬號、手機(jī)號、身份信息、銀行卡號等基礎(chǔ)物料資源。在大量的黑產(chǎn)資源下，超200萬的黑產(chǎn)從業(yè)人員通過批量的高度擬人的自動化攻擊技術(shù)、偽造設(shè)備信息的各類改機(jī)工具，使得欺詐手段進(jìn)一步升級，隨之而來的便是在線業(yè)務(wù)欺詐風(fēng)險(xiǎn)驟升。網(wǎng)宿安全團(tuán)隊(duì)結(jié)合黑灰產(chǎn)跟蹤和2022年網(wǎng)宿平臺流量分析發(fā)現(xiàn)，大量企業(yè)正在遭受惡意注冊、惡意登錄、營銷作弊等業(yè)務(wù)欺詐行為。疫情時(shí)代下，越來越多企業(yè)通過線上開展及推廣業(yè)務(wù)，因此通過業(yè)務(wù)欺詐獲利生存的黑灰產(chǎn)正將黑手伸向品牌零售、在線電商、數(shù)字藏品等各行各業(yè)。第三章

攻擊手段解讀3.1.

利用API安全缺陷攻擊攻擊者常常利用API缺陷進(jìn)而發(fā)起的一系列針對API業(yè)務(wù)的破壞：2022年Web安全觀察報(bào)告07身份驗(yàn)證和身份驗(yàn)證和訪問控制是API安全的第一道防線，若實(shí)現(xiàn)不當(dāng)，攻擊者可以通過繞過或突破這些機(jī)制，獲取對API的非法訪問權(quán)限。例如，某社交平臺的API在身份驗(yàn)證中未驗(yàn)證請求的來源，攻擊者可以使用被盜的憑證進(jìn)行未授權(quán)的訪問。訪問控制不當(dāng)盜取敏感信息攻擊者通過在未加密傳輸或未加密存儲的數(shù)據(jù)中查找機(jī)密信息，例如用戶名、密碼和API密鑰等。據(jù)APIsecurity.io統(tǒng)計(jì)，數(shù)據(jù)泄露是API安全風(fēng)險(xiǎn)中的第二大問題。一些API暴露了過多的數(shù)據(jù)，包括用戶的私人信息和系統(tǒng)配置信息。攻擊者可以利用這些信息來發(fā)起更有針對性的攻擊。因此，API應(yīng)該實(shí)現(xiàn)最小化原則，僅向需要數(shù)據(jù)的應(yīng)用程序提供所需的最少信息。攻擊者還可以通過不安全的數(shù)據(jù)存儲可能導(dǎo)致攻擊者輕松地竊取和篡改數(shù)據(jù)。例如，某社交平臺的API在存儲用戶個(gè)人信息時(shí)，沒有對密碼進(jìn)行哈?；蚣用埽瑢?dǎo)致攻擊者可以直接訪問并竊取用戶的密碼。根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告，2019年有22%的數(shù)據(jù)泄露涉及未加密的數(shù)據(jù)存儲。暴力攻擊和暴力破解攻擊者可以通過大量嘗試不同的用戶名和密碼組合的方式，進(jìn)行暴力攻擊和暴力破解。這種攻擊方式可以利用API的弱點(diǎn)，從而導(dǎo)致帳戶被封鎖或者被完全控制。例如，2020年3月份，Zoom視頻通信平臺遭受了大規(guī)模暴力攻擊，攻擊者使用了大量的憑證進(jìn)行嘗試，并成功獲取了一些憑證，從而導(dǎo)致了安全漏洞。API參數(shù)污染重放攻擊攻擊者通過修改API的參數(shù)來修改API返回的結(jié)果。這種攻擊通常發(fā)生在API的查詢字符串、POST數(shù)據(jù)或者HTTP標(biāo)頭中，通過修改這些參數(shù)，攻擊者可以繞過API的訪問控制或者欺騙API的返回結(jié)果。攻擊者可能會利用API服務(wù)中的重放攻擊漏洞來重復(fù)執(zhí)行之前的請求，從而繞過身份驗(yàn)證或執(zhí)行未經(jīng)授權(quán)的操作。例如，攻擊者可能會重復(fù)發(fā)送之前的請求來執(zhí)行惡意操作或竊取數(shù)據(jù)。應(yīng)對此類攻擊的關(guān)鍵在于如何有效管控API安全風(fēng)險(xiǎn)，通常需要至少覆蓋以下幾方面：①避免出現(xiàn)API安全缺陷：如借助API網(wǎng)關(guān)等管理工實(shí)現(xiàn)API的規(guī)劃、設(shè)計(jì)、實(shí)施、測試、發(fā)布、運(yùn)營、調(diào)用、版本管理和下線等API各個(gè)生命周期階段的閉環(huán)管理。②保障核心數(shù)據(jù)安全：通過敏感數(shù)據(jù)發(fā)現(xiàn)、脆弱性評估、脫敏、審計(jì)、數(shù)據(jù)安全態(tài)勢運(yùn)營等手段保障核心數(shù)據(jù)安全。③威脅防護(hù)：如借助專業(yè)的API安全工具或Web應(yīng)用防護(hù)產(chǎn)品，基于內(nèi)容檢查、流量管理、AI業(yè)務(wù)模型分析等手段，保護(hù)API免遭自身缺陷導(dǎo)致的濫用、非授權(quán)訪問和拒絕服務(wù)攻擊。2022年Web安全觀察報(bào)告083.2.

利用海量秒撥IP發(fā)起低頻應(yīng)用層DDoS攻擊由于應(yīng)用層流量更貼近業(yè)務(wù)邏輯，在應(yīng)用層發(fā)起DDoS攻擊可以同時(shí)對目標(biāo)網(wǎng)絡(luò)與目標(biāo)服務(wù)器的穩(wěn)定性造成威脅，應(yīng)用層DDoS攻擊的攻擊方式與手法在也在不斷演進(jìn)升級。從集中式高頻請求逐步演進(jìn)為分布式低頻請求，從請求報(bào)文中攜帶顯著惡意特征變化為重放合法請求流量、偽造搜索引擎爬蟲流量等手段規(guī)避常見的頻率限制或訪問控制策略。而秒撥作為在2014年就成熟的IP資源解決方案，被大量應(yīng)用于黑灰產(chǎn)網(wǎng)絡(luò)攻擊場景。代理使用者代理服務(wù)器目標(biāo)網(wǎng)站動態(tài)IP池秒撥的底層思路是利用家用寬帶撥號上網(wǎng)（PPPoE）的原理，每一次斷線重連就會獲取一個(gè)新的IP，主要涉及到以下幾點(diǎn)技術(shù)：IP地址池管理NAT技術(shù)VPN技術(shù)負(fù)載均衡技術(shù)高可用性技術(shù)通過管理IP地址池來實(shí)現(xiàn)IP地址的動態(tài)分配和回收。當(dāng)用戶需要使用IP時(shí)，從IP地址池中分配一個(gè)可用的IP地址給用戶，用戶使用完畢后，則將該IP地址回收到IP地址池中，以便下一次分配使用。使用NAT技術(shù)來實(shí)現(xiàn)多個(gè)用戶共享一個(gè)公網(wǎng)IP地址的功能。當(dāng)用戶使用秒撥IP地址進(jìn)行網(wǎng)絡(luò)訪問時(shí)，將用戶的私有IP地址轉(zhuǎn)換成公網(wǎng)IP地址，從而實(shí)現(xiàn)用戶與外部網(wǎng)絡(luò)的通信。使用VPN技術(shù)來保證用戶數(shù)據(jù)的安全性和隱私性。用戶使用秒撥IP時(shí)基于VPN連接在公共網(wǎng)絡(luò)上建立一個(gè)安全的隧道，將用戶的數(shù)據(jù)加密傳輸，從而保證用戶數(shù)據(jù)的安全性和隱私性。使用負(fù)載均衡技術(shù)來實(shí)現(xiàn)多個(gè)服務(wù)器之間的負(fù)載均衡。當(dāng)用戶請求訪問秒撥IP服務(wù)時(shí)，會被分發(fā)到多個(gè)服務(wù)器上，從而實(shí)現(xiàn)服務(wù)器資源的合理利用和負(fù)載均衡。使用高可用性技術(shù)來保證服務(wù)的可靠性和穩(wěn)定性。當(dāng)某個(gè)服務(wù)器出現(xiàn)故障時(shí)，會自動將請求轉(zhuǎn)發(fā)到其他可用的服務(wù)器上，從而保證服務(wù)的連續(xù)性和可靠性。利用大規(guī)模秒撥IP發(fā)起對于Web業(yè)務(wù)站點(diǎn)合法且低頻的請求發(fā)起攻擊，在對抗防護(hù)策略有兩個(gè)天然的優(yōu)勢：①資源池巨大，少則十萬多則百萬的秒撥IP，輕松繞過基于頻率的傳統(tǒng)防護(hù)手段；②難以識別，秒撥IP與正常用戶來源同一個(gè)池子，并且秒撥IP存活周期短，被釋放后大概率會分配到正常用戶手中，因此在實(shí)際研判難以區(qū)分正常用戶IP與秒撥IP。防守方如果還想以積累IP池的傳統(tǒng)方式與攻擊者對抗，必然會引入大量誤報(bào)。識別風(fēng)險(xiǎn)IP的核心依據(jù)應(yīng)該是，該IP是否當(dāng)下被黑產(chǎn)持有。IP的黑產(chǎn)使用周期和時(shí)間有效性這兩個(gè)指標(biāo)尤為重要，尤其是對于像家庭寬帶IP、數(shù)據(jù)中心主機(jī)IP這種“非共享型”的IP。針對基站、專用出口等“共享型”的IP，由于單個(gè)IP背后會有大量用戶，防控閾值應(yīng)該相對更寬松，但是如果能準(zhǔn)確識別IP是否當(dāng)下被黑產(chǎn)使用，也能提供很重要的參考價(jià)值。這往往需要投入大量精力進(jìn)行情報(bào)數(shù)據(jù)挖掘、清洗、生產(chǎn)，最終形成數(shù)據(jù)驅(qū)動的防護(hù)能力。2022年Web安全觀察報(bào)告093.3.

0day漏洞自動化探測繞過WAF防護(hù)網(wǎng)宿安全平臺2022年WAF攻擊數(shù)據(jù)發(fā)現(xiàn)，66%的漏洞利用攻擊發(fā)生在互聯(lián)網(wǎng)和金融行業(yè)，因?yàn)檫@些行業(yè)的數(shù)據(jù)更有價(jià)值。其中，對新漏洞的攻擊利用占比高達(dá)73%。互聯(lián)網(wǎng)：50%金融：16%其他：34%22年新漏洞攻擊：73%歷史漏洞攻擊：27%組件漏洞利用行業(yè)偏好新舊漏洞攻擊占比網(wǎng)

宿

安

全

團(tuán)

隊(duì)

發(fā)

現(xiàn)

，

在

0

d

a

y

漏

洞

被

公

布

前

，

黑

客

越

來

越

多

地

使

用

自

動

化

程

序

進(jìn)

行

批

量

嗅

探

。

以CVE-2022-22965

Spring

Framework遠(yuǎn)程代碼執(zhí)行漏洞為例，該漏洞公布后，通過對網(wǎng)宿安全平臺的歷史攻擊數(shù)據(jù)手段溯源發(fā)現(xiàn)，在漏洞公布時(shí)間之前已有大量利用此漏洞POC的探測請求被網(wǎng)宿Bot防護(hù)產(chǎn)品識別。通過分析CVE-2022-22965漏洞對應(yīng)的WAF檢出量和自動化Bots檢出量，我們發(fā)現(xiàn)二者趨勢具有明顯的正相關(guān)。CVE-2022-22965WAF檢出量自動化Bots檢出量4.14.24.34.44.54.64.74.84.92022年Web安全觀察報(bào)告103.4.

手段多變的Bot攻擊Bot分類從Bot的攻擊手段來看，Bot攻擊可以分為如下四個(gè)級別：不具備Cookie和JavaScript特性的簡單自動化腳本。這些自動化腳本甚至不會通過偽造User-Agent信息來偽裝自己，僅機(jī)械地對目標(biāo)應(yīng)用實(shí)施爬取、掃描、重復(fù)訪問等。但此類訪問占據(jù)Bot流量比例最大。簡單Bot具備Cookie和JavaScript特性的復(fù)雜自動化腳本。這些自動化腳本會模擬正常的瀏覽器對目標(biāo)應(yīng)用進(jìn)行訪問，基于對請求報(bào)文的檢測方式已難以發(fā)現(xiàn)異常。復(fù)雜Bot擬人Bot不僅具備Cookie和JavaScript特性，同時(shí)還能模擬人類的鼠標(biāo)移動、鍵盤敲擊等交互事件。此類Bot一般為具備瀏覽器內(nèi)核的自動化框架或者集成了惡意插件的真實(shí)瀏覽器。類Bot不僅能達(dá)到復(fù)雜Bot或擬人Bot的級別，同時(shí)還會采用動態(tài)偽造不同的User-Agent、使用IP代理等手段躲避追蹤。固定的策略或者人工分析難以追蹤并及時(shí)做出阻斷動作。持續(xù)動態(tài)Bot案例解讀Bot類型攻擊手段自動化框架通過自動化測試工具（自動化測試工具）進(jìn)行模擬人類的點(diǎn)擊、滾動、填寫表單等操作實(shí)現(xiàn)頁面信息的爬取。此類攻擊的訪問序列及行為與正常人的訪問行為非常接近，通過常規(guī)的檢測方式難以識別。詳情描述以某航司遭受的自動化框架爬取頁面信息的場景為例：正常購票流程行程查詢自動化框架BOT自動查詢行程自動查詢票價(jià)自動登錄備注票價(jià)查詢重點(diǎn)爬取對象賬號登陸編輯乘機(jī)人提交訂單自動添加并勾選乘機(jī)人自動提交訂單自動支付支付訂單2022年Web安全觀察報(bào)告11實(shí)戰(zhàn)對抗思路自動化框架本質(zhì)上還是由人類編寫和維護(hù)，且由于效率與成本的雙重約束，攻擊行為往往在一個(gè)或多個(gè)角度與正常人類的訪問存在差異。例如：為了躲避檢測和追蹤，自動化框架通常會動態(tài)變換UA值（通常是利User-Agent用隨機(jī)UA生成工具或自行維護(hù)一個(gè)UA列表）；為追求爬取頁面信息的效率，自動化框架的訪問間隔通常與正常人類訪問間隔的訪問間隔有所區(qū)別（例如在查詢機(jī)票后，真實(shí)的人類訪問通常會停留較長時(shí)間以進(jìn)行對比）；盡管自動化框架可以模擬正常人類的點(diǎn)擊、滑動等操作行為，但是這相似行為類行為需要通過錄制或編碼實(shí)現(xiàn)，通常多個(gè)客戶端存在相同或相似的操作行為；由于成本和效率的限制，自動化框架常常在爬取頁面信息時(shí)呈現(xiàn)有規(guī)律訪問序列的訪問序列?；谏鲜霾町?，可以采用如下防護(hù)方案：基

于

情

報(bào)

對

存

在

惡

意攻擊歷史的IP、UA等標(biāo)

識

進(jìn)

行

更

嚴(yán)

格

的

校驗(yàn)

（

比

如

驗(yàn)

證

碼

或

直接攔截）。使用瀏覽器特性檢測手段動態(tài)檢測瀏覽器內(nèi)核和瀏覽器指紋，對攜帶非法UA或關(guān)聯(lián)多UA的訪問say“No”。利用大數(shù)據(jù)分析和AI檢測技術(shù)持續(xù)對網(wǎng)站訪問日志進(jìn)行推理和檢測，發(fā)現(xiàn)其中異于正常人類的訪問行為，加以管控。3.5.

欺詐背后的黑灰產(chǎn)業(yè)鏈黑灰產(chǎn)已通過大量自動化、流程化的方式進(jìn)行業(yè)務(wù)欺詐，并貫穿于整個(gè)在線業(yè)務(wù)場景，在黑產(chǎn)攻擊猖獗的注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。以攻擊行業(yè)的重災(zāi)區(qū)電商行業(yè)為例，我們梳理了以下主要攻擊場景及風(fēng)險(xiǎn)類型：2022年Web安全觀察報(bào)告12注冊登陸收藏/加購下單/支付物流售后刷單撞庫占庫存渠道刷量虛假賬戶垃圾注冊刷好評惡意差評退貨套利暴力破解賬戶盜用批量登錄刷榜木馬釣魚盜用盜卡洗錢虛假地址虛假運(yùn)單騙取補(bǔ)貼黃牛秒殺每個(gè)業(yè)務(wù)環(huán)節(jié)都充斥著業(yè)務(wù)欺詐行為，其背后的黑產(chǎn)團(tuán)伙已具備高度成熟的產(chǎn)業(yè)化、技術(shù)化，結(jié)構(gòu)現(xiàn)狀如下圖所示：實(shí)現(xiàn)流程物料層平臺層工具層實(shí)施層變現(xiàn)層實(shí)現(xiàn)方式手機(jī)卡商、賬號商人、銀行卡商、接口攻擊泄露的賬號/密碼打碼平臺、接碼平臺、代理IP池、非法交易平臺群控軟件、自動化工具、改