网络犯罪团伙加紧API攻击脚步

攻防
3年前

20211030214815.png

akamai-chart.jpg

  研究人员报告称,Web应用攻击持续增多,其中大部分恶意活动针对Web应用编程接口展开。

  10月27日,互联网安全公司阿卡迈指出了Web API所面临的攻击面增长问题。研究人员实际上并没有区分针对Web应用的攻击和专门使用Web API的攻击,但认为针对Web应用的攻击增长主要源自应用服务器暴露的API。阿卡迈的报告揭示,SQL注入、本地文件包含和跨站脚本这三大Web攻击途径占所有Web攻击的近95%,且常常通过API执行。

  阿卡迈安全研究员称,开发人员纷纷采用API构建移动应用、Web应用和云应用的时候,他们常常没有考虑到安全问题。

  “Web应用安全人员在十年前就吃到的教训,如今我们在API安全领域又看到了。API本是为了增加可用性和实现大规模访问的。因为易于部署,开发人员真的非常喜欢在所有能用的地方都使用API,但随着API逐渐统治我们的生活,我们也应该关注API安全了。”

  Web API不断增长的攻击面并没有被忽视。阿卡迈的报告显示,市场研究公司Gartner认为,90%的Web应用更容易遭遇通过暴露出来的API发起的攻击而不是经由用户界面发起的攻击。API安全公司Salt Labs发布的另一份报告称,今年上半年API流量整体增长了140%以上,但恶意API流量增长得更快,接近350%。

  由于攻击者越来越多地利用Web API,开放Web应用安全项目(OWASP)发布了2019年十大API安全问题列表。在许多方面,此列表中的问题反映了更为人所知的OWASP十大Web应用安全风险榜单上的问题。

  软件安全公司Veracode首席研究官Chris Eng在报告的一篇文章中称:“[十大API安全列表]旨在解决API的‘独特漏洞和安全风险’,但仔细观察,你会发现这些Web漏洞完全一样,只是顺序略有不同,描述稍有差异 。我们在API安全方面犯的错误,与20年前我们在网络安全方面所犯过的毫无二致。”

  阿卡迈报告显示,过去18个月中,日Web应用攻击增长缓慢,2021年6月出现明显峰值,单日攻击超过1.13亿次。此外,攻击者尝试以被盗或可猜解凭证登录的凭证滥用攻击,其平均数量在过去18个月中增加了两倍。很多此类攻击都可以通过应用的API执行。

  Ragan表示:“未来你将看到,攻击者找寻进入企业网络的入口时,他们会首先扫描API。在执行凭证填充攻击时,他们也会使用API,而且这种事情大多没有频率限制,所以你会看到无限次的猜解。”

  根据阿卡迈的报告,多项调查显示开发人员更专注于让API正常工作,而不是确保这些接口安全。Veracode赞助企业战略集团(ESG)完成的一份报告显示,大约一半的软件开发团队定期推出已知存在漏洞的代码,其中半数团队表示这是因为需要赶最后期限,而且稍后会修补该功能。

  “不要无视漏洞,不要忽略测试,不要硬编码密码和令牌。这些都是最基本的安全原则,但你现在仍然能看到这些问题。我们现在看到的很多问题都是多年前就经历过的,而这是完全可以避免的。”

  除了针对API和Web应用的攻击,阿卡迈还发现,2021年上半年,凭证填充攻击增加至每天平均约8亿次虚假登录尝试,其中有几天甚至出现了10亿次登录尝试。

  分布式拒绝服务(DDoS)攻击也见长:今年1月,阿卡迈单日录得190起DDoS事件,不过,6月份攻击数量有所下降。

  美国的网络和系统所遭受的攻击数量是第二大目标国家英国的六倍。与此同时,美国也是最大的攻击来源国,从美国发起的攻击数量是第二大来源国俄罗斯的四倍。


  阿卡迈《API:连接你我的攻击面》报告点击查看

  Salt Labs《API安全状况》报告点击查看

  OWASP《2019年十大API安全问题》报告点击查看



参考阅读

API安全成企业当务之急

API安全测试:主动识别API漏洞

[调查]API安全成为威胁新趋势