恶意攻击者如何利用applications发起攻击
当今的许多应用都是在小型容器集群中构建的,并部署在许多不同的位置。 这种分布式方法有助于提高性能和弹性。 然而,它也使得保护应用程序变得困难和复杂。
与此同时,针对应用及其生态系统的攻击也更加普遍和复杂。
网络犯罪分子经常利用应用漏洞并轻松绕过许多安全控制。 随着组织寻求提高警惕并增强对不断演变的威胁的抵御能力,有必要了解网络犯罪分子如何思考、操作和利用应用程序。
网络犯罪分子追逐金钱
请注意,攻击者本身不需要具备高超的技术,因为他们使用大量免费工具和服务,并且经常相互共享。
他们的心理,通常都是追逐金钱。 在数字经济中,这意味着针对网络和移动应用来利用任何漏洞并滥用应用程序逻辑来获取访问权限。
网络犯罪分子不断扫描应用的弱点并寻找开放或薄弱的应用网关。 以下是三种典型的攻击(按复杂程度和目标的潜在价值升序排列):
- 常见的攻击以已知漏洞为目标,例如OWASP Top 10中指出的漏洞。
- 零日攻击针对的是未知或未预料到的漏洞。
- 高级持续性攻击是复杂的活动,甚至可能受到国家支持。
还值得注意的是,网络攻击不仅针对网络和移动应用,还针对服务器基础设施、数据和设备。 对于这个博客,我们将重点关注应用,现在我们将更深入地探讨一些更常见的攻击。
applications目标丰富
攻击者利用应用是因为它们是大量有价值数据的入口点,网络犯罪分子可以利用这些数据进行武器化并牟利。
黑客瞄准的领域包括应用代码本身、应用程序所在的服务器基础设施以及为应用程序带来附加功能的附加组件(如代码库或插件)。
根据 F5 Labs 的《 2022 年application保护报告》 ,与访问相关的漏洞(包括网络钓鱼、撞库攻击和注入攻击)是主要的攻击媒介,约占所有 Web 应用程序漏洞的 25%。 紧随其后的是恶意软件,占网络应用程序漏洞的 24%。 如上所述,这些应用程序攻击的目标是以最简单的方式获取您最有价值的数据。
application攻击的破坏性影响
让我们快速了解一下基本注入攻击的常见场景。 首先,攻击者启动一系列自动侦察扫描,利用机器人在寻找漏洞的同时实现规模化:
- 攻击者找到一个开口,通常是应用中不安全的门或接入点。
- 然后,他们利用该漏洞注入恶意代码(恶意软件),建立可远程执行命令的存在。
- 一旦恶意代码运行,攻击者可能会寻求获得进一步访问权限的选项,以便进行更深入的渗透、命令和控制、侦察或间谍活动或盗窃。
- 该应用程序和底层数据现在已被泄露。
上述场景非常简单。 注入攻击通常更加复杂且更具威胁性。 想象一下,攻击者注入一条命令来删除应用程序中的所有数据,导致数字产品或服务彻底崩溃。 或者想象一下如果一个命令要公开信用卡数据库表。
此类攻击可能会带来灾难性的后果。 应用程序中断可能导致收入和声誉损失,并且补救成本高达数百万美元。 对于消费者来说,这可能意味着糟糕的用户体验,甚至更糟:他们的个人信息被盗。
了解其他常见攻击类型
一旦攻击者攻破了应用,他们通常会通过 Web 应用程序利用浏览器漏洞。 其目的可能是窃取用户的凭证,随后接管账户,或者直接实时接管用户的会话。
他们还可以在受害者的浏览器中运行恶意代码(通常称为表单劫持)来提交看似来自真正用户的虚假请求。 这可能会对个人(其身份被用于欺诈性开设账户或信用应用)和组织(通常不得不承担损失)产生严重影响。 因此,每个人都必须警惕网络钓鱼攻击,并且无论用于个人用途还是在工作中都不要重复使用密码。
另一种广泛使用的攻击是拒绝服务 (DoS) ,它通过自动、机器人传送的请求淹没应用,从而产生压力并导致应用变慢,甚至更糟的是,导致应用程序无效。 来自多台计算机(称为僵尸网络)的分布式拒绝服务 (DDoS) 攻击通常更为有效。 僵尸网络中的节点(或计算机)通常是感染了恶意软件的消费者设备。 这进一步强调了保护设备免受恶意软件和其他网络攻击的重要性。
虽然网络犯罪分子的动机和攻击方式各不相同,但对这些常见攻击类型和预防方法有基本的了解还是有帮助的。
每个人都应在网络防御中发挥作用。 在下面的视频中,我们分享了一些关于如何防范网络钓鱼、短信网络钓鱼和不良行为者通常用来利用应用的一般社会工程策略的高级指针。