APP受到的那些漏洞攻击

随着越来越多的组织、机构和企业将应用程序App开发，生产和托管放在首位，出现了新的漏洞和威胁。缩短发布时间，改善用户体验和提高资源利用率的需求可能会影响部署应用程序之前实施的安全协议。 接受Radware调查的98％的受访者看到了对应用程序App和Web服务器的各种攻击，并对如何保护API和敏感数据的传输表示关注。 攻击频率变化很大 该调查显示了最常见的三种应用程序和Web服务器攻击。对于57％的组织，SQL或其他注入每月或更频繁地发生一次，而跨站点请求伪造（CSRF），会话/ cookie中毒或协议攻击等攻击则发生的频率要低得多。在某些情况下，受访者报告说，他们在自己的组织中没有看到过这类攻击。 RPA和自动攻击不断增加，但企业尚未准备好管理机器人流量 机器人流程自动化和其他好的机器人可以帮助提高生产力和业务流程（例如数据收集和决策），而不良机器人则以网站，移动应用和API为目标，以窃取数据并破坏服务。 组织继续依靠传统的安全解决方案来评估机器人流量。当今复杂的恶意机器人可以模仿人类行为，并绕过验证码和其他较旧的技术和启发式技术。 WAF是用于对机器人进行分类的最常用工具 尽管这些技术在检测复杂的，类似于人的机器人流量方面受到限制，但将近一半的组织使用Web应用程序防火墙（WAF）来区分真实用户和机器人，并且几乎相同的组织使用基于IP的检测来进行区分。 。使用的其他技术包括会话中检测和终止以及CAPTCHA。区分真实用户和机器人的最不常用方法是专用的反机器人/反抓取解决方案。 受访者报告的三种主要的漫游器攻击类型是DDoS，Web抓取和帐户接管。各种其他类型的攻击也会以某种频率发生，包括数字欺诈，拒绝库存和支付数据滥用。 通过DDoS耗尽应用程序资源 80％的人报告说对其应用程序遭受了DoS攻击。就像针对网络基础架构的DDoS攻击一样，关闭应用程序的最常用方法是使用传入的请求对其进行泛洪。几乎有五分之三的组织每月至少一次经历一次HTTP Flood（如果不是更频繁的话）。几乎五分之二的人至少经常经历HTTPS Floods。其他各种DoS攻击也会以某种频率发生，包括缓冲区溢出和资源耗尽攻击。 API处理各种机密数据类型 调查发现，API处理各种数据类型。在绝大多数组织中，API处理敏感的个人数据，例如电子邮件地址，电话号码，地址，用户凭据，令牌，哈希，Cookie和付款信息。许多组织还使用API​​处理信息，其中包括有关个人的识别信息，在某些情况下还包括病历。 大多数应用程序通过API公开敏感数据 受访者表示，绝大多数应用程序都通过API暴露给了Internet和/或第三方应用程序服务。虽然27％的组织公开的应用程序不到四分之一，但35％的公开的应用程序占四分之一到二分之一，而38％的公开的应用程序超过了一半。 应用程序开发团队在新的云环境中保护其应用程序所面临的挑战是潜伏的危险，在新的云环境中，仍无法很好地理解容器上运行的应用程序数据的安全性，尽管有一些可用的工具，但没有最佳实践出现然而。57％的组织已经在使用容器化的应用程序，但52％的受访者认为使用容器并没有带来额外的财务效率。 有关使用API​​的重大担忧 调查显示，五分之三的受访者担心或极度担心使用API​​可能造成安全漏洞。很大一部分受访者担心意外的数据丢失，管理和维护开销以及使用API​​时的过度复杂性。 研究表明，对API使用的关注程度与应用程序暴露于Internet和/或第三方应用程序的程度之间存在关系。例如，在那些“非常关注”这些问题的人中，有40％的受访者有一半以上的应用程序暴露于API。但是，在那些只需要很少关注的人中，没有超过一半会暴露给API。 API攻击很常见 各种类型的API攻击相当普遍。调查显示，有55％的组织至少每月经历一次针对其API的DoS攻击，48％的组织至少每月经历一次某种形式的注入攻击，42％的组织至少每月经历一次元素/属性操纵。 WAF是最常见的防御措施 被调查者被问及他们用来保护 API的各种技术。有77％的人使用WAF保护API，而61％的人使用API​​网关，而50％的人使用附加的云服务。当前只有四分之一的组织使用任何类型的专用漫游器管理工具来保护其API。