Log4Shell和Spring4Shell等重大漏洞的出现印证了Web应用程序和API所带来的严重风险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多Web应用程序。平均而言，每家企业使用的应用程序数量已经达到了1061个，充分体现出这一攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。

2022年，应用程序和API攻击数量创下新高。2021年末，Log4Shell爆出后不久，企业就发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：AtlassianConfluence漏洞(CVE-2022-26134)、ProxyNotShell漏洞(CVE-2022-41040)和Spring4Shell/SpringShell(CVE-2022-22965)等。API漏洞利用攻击的数量不断增加，即将发布的新版开放式Web应用程序安全项目(OWASP) API十大安全漏洞已将API漏洞纳入其中，这表示API安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复杂性也在提高，攻击者在不断“进化”,努力寻找更多新方法来利用这一不断扩大的攻击面。例如，攻击者团体使用Web shell(例如China Chopper)发动高度有针对性的攻击，比如Hafnium团体就曾对美国的国防和教育机构发起过此类攻击。

此外，服务器端模板注入(SSTI)和服务器端代码注入有可能导致远程代码执行(RCE)和数据渗漏，给业务带来严重威胁。近期的一个例子是在VMware Workspace ONE Access andIdentity Manager中发现的RCE漏洞(CVE-2022-22954)。在API威胁环境中，受损的对象级别授权是企业的主要顾虑，其原因是多方面的，包括这类漏洞的检测难度大、影响大(攻击可能造成攻击者获得敏感数据的访问权限)。考虑到多种非传统攻击媒介的使用量增加，企业有必要升级应用程序和API领域的防御机制。

在本期《互联网现状/安全性》(SOTI)报告中，我们将继续研究我们在Web应用程序和API领域发现的各类攻击，探索它们对于企业的影响，以及各种漏洞在API环境中的定位。我们的目标是阐明Web应用程序和API攻击造成的危险，并提供一些针对性建议，帮助您保护网络，成功抵御此类攻击。

来源：Akamai

关于我们

我们是一家专注于分享国内外各类行业研究报告/专题热点行业报告/白皮书/蓝皮书/年度报告等各类优质研究报告分享平台。所有报告来源于国内外数百家机构，包含传统行业、金融娱乐、互联网+、新兴行业、医疗大健康等专题研究.....目前已累积收集近80000+份行业报告，涉及众多大板块，多个细分领域。

内容涵盖但不限于（市面上有的基本都有）：

1、互联网运营、新媒体、短视频、抖音快手小红书等等；

2、房地产、金融、券商、保险、私募等；

3、新技术（5G）、金融科技、区块链、人工智能类；

4、电子商务、市场营销、运营管理、麦肯锡、德勤等；

5、快消品、餐饮、教育、医疗、化妆品、旅游酒店、出行类等；

免责声明：

本平台只做内容的收集及分享，报告版权归原撰写发布机构所有，由圣香智库社群通过公开合法渠道获得，如涉及侵权，请联系我们删除；如对报告内容存疑，请与撰写、发布机构联系。