词汇表: 网络安全术语和定义

OWASP 对 Webapplications的自动化威胁

该 OWASP 项目专注于识别针对 Webapplications的自动化威胁,并推荐安全控制和最佳实践来降低其风险。

OWASP (开放全球应用安全项目) Web应用s自动化威胁项目的目标是对 Web应用s常见的各种自动化威胁提供全面、标准化的理解。 这些自动化攻击越来越多地针对移动应用程序和 API。 该项目汇集了针对 Web应用s的真实世界自动攻击的研究和分析,以生成文档来帮助运营商防御这些威胁。 

什么是自动化威胁?

自动化威胁是指由机器人、脚本或黑客工具包而不是由手动与 Web应用交互的人执行的恶意攻击。 这些威胁可以利用 Web应用s和 API 中固有的漏洞,导致安全漏洞、数据盗窃、帐户接管、欺诈和其他有害后果。

虽然应用中的购物车不是一个漏洞,但用于将商品添加到购物车的业务逻辑也可能成为自动化系统的攻击目标和操纵,从而导致库存囤积。 

该项目创建了一个针对网络applications的不同自动化威胁的目录或分类法。 通过识别和分类这些威胁,开发人员、安全专家和组织可以更深入地了解他们面临的风险及其对其系统的潜在影响。 对于每一种自动化威胁,该项目还推荐了有效的对策和最佳实践来降低风险。 通过提高对这些威胁的认识,OWASP 旨在鼓励采取主动的安全措施并改善 Webapplications的整体安全态势。

由于许多自动化威胁依赖于机器人,因此区分机器人管理和机器人缓解很有用。 机器人管理是指用于处理与 Webapplications交互的机器人的策略和实践。 机器人管理的目标不仅仅是阻止或缓解机器人,还要区分合法机器人流量(例如,搜索引擎爬虫)和恶意机器人。 机器人缓解特别侧重于减少或消除恶意机器人对 Webapplications的影响的过程。 它涉及实施防御措施,以防止机器人成功执行可能导致帐户接管(ATO)和欺诈的有害操作或攻击。

OWASP 针对 Webapplications的自动化威胁列表

以下是 OWASP 针对 Webapplication程序的自动威胁项目识别和编译的自动威胁列表。   

  1. 帐户聚合。 这些攻击的目的是从多个网站或平台获取用户帐户凭据,通常用于恶意目的,例如身份盗窃、金融欺诈或未授权访问敏感信息。 账户聚合攻击是使用模仿人类与各种网络服务或applications交互的自动机器人或脚本来执行的。 
  2. 创建帐户。 这些攻击涉及恶意行为者使用自动脚本或机器人在平台或网站上创建大量虚假用户帐户。 攻击者可以利用这些虚假账户向平台发送垃圾内容、广告或恶意链接,从而对合法用户造成干扰和烦恼。 虚假账户还可用于操纵网站或应用上的公众情绪和评论/评级,或冒充真实用户或公众人物来传播错误信息或造成声誉损害。  这种威胁还可能导致新开户欺诈(也称为第一方欺诈),并对整个数字世界产生影响
  3. 广告欺诈。 这种威胁也称为点击欺诈,涉及欺骗活动,以伪造与在线广告的互动次数,例如点击次数或展示次数。 这些欺诈行为通常通过自动机器人或脚本执行,旨在为欺诈者创造收入或操纵广告效果指标。 
  4. CAPTCHA 失败。 这种威胁使用自动化技术来绕过或规避 CAPTCHA 挑战,并且对 Web应用安全来说是一个重大问题,因为它允许恶意行为者绕过针对机器人的常见防御措施。 CAPTCHA(用于区分计算机和人类的完全自动化公共图灵测试)是一种用于区分人类用户和自动机器人或脚本的安全控制。 攻击者可以使用图像识别软件来解决视觉验证码,并部署机器学习算法来解决听觉和拼图验证码。 在某些情况下,攻击者会雇用人类 CAPTCHA 解答者,他们实时手动解答 CAPTCHA。 虽然 CAPTCHA 是一种常用的安全控制,但它很容易被绕过,给合法用户的客户体验带来阻碍,导致交易和收入的放弃。   
  5. 卡破了。 这是一种自动化的网络犯罪,涉及猜测或破解支付卡的安全功能,例如卡号、有效期和安全码(CVV/CVC)。 破解卡通常采用暴力攻击,其中自动机器人或脚本系统地尝试多种卡详细信息组合,直到找到与有效卡匹配的组合。 一旦有效的卡详细信息被识别,它们就会被用于各种非法活动,例如进行未经授权的购买或进行金融欺诈。 攻击者可能会从实体店中获取几张未加载的实体礼品卡,以查看礼品卡发行者是否依赖连续的编号模式。 
  6. 梳理。 这种自动化网络犯罪形式涉及未经授权使用被盗的支付卡信息进行欺诈交易或购买。 犯罪分子使用自动机器人或脚本在各种网站或applications上测试被盗的信用卡或借记卡详细信息,以识别那些接受被盗信息的人。 一旦自动机器人识别出易受攻击的目标,他们就会使用被盗的卡信息进行欺诈性购买,通常购买高价值商品或数字服务,或将可用价值转移到其他账户。  
  7. 兑现。 这是指将非流动资产或虚拟货币转换为现实世界的资金或有形商品。 这种威胁通常发生在成功的攻击之后,导致在线平台或账户中的宝贵资产被盗。 当攻击者控制了网络applications或在线平台上的用户帐户时,他们可能会使用这些帐户兑现帐户所有者的资产,例如礼品卡、忠诚度积分或虚拟货币。 机器人经常被用来协助套现,因为它们允许网络犯罪分子大规模、高效地进行这些欺诈活动。 
  8. 凭证破解。 这种威胁是一种暴力破解攻击,针对的是 Webapplications的登录机制,例如登录页面、用户帐户门户或身份验证 API。 攻击者使用自动化技术系统地尝试常见的用户名和密码组合,直到找到可以授予对用户帐户的未授权访问的组合。 这使得攻击者可以进行恶意活动,例如身份盗窃、金融欺诈或其他未经授权的行为。  
  9. 撞库攻击。 撞库攻击是 Web应用威胁最常见的形式之一,当网络犯罪分子获取用户名/密码对列表(通常在暗网上购买)并尝试使用凭证对访问其他受登录保护的帐户时,就会导致凭证填充。 由于许多人重复使用用户名和密码,这些攻击(也称为帐户接管)可能非常有效,使犯罪分子能够控制用户帐户来窃取资产或进行第三方欺诈。  
  10. 否认库存。 此次攻击是由于攻击者使用机器人将大量商品添加到购物车中,而不进行结账购买,从而使电子商务商品停止流通。 这种情况会阻止其他购物者购买该商品,因为系统记录了缺货情况,并且由于购买从未完成,因此也会拒绝该供应商的销售。 当使用机器人预订或保留酒店房间、餐厅餐桌或飞机座位而未完成付款时,就会出现这种自动化威胁的变体。 
  11. 拒绝服务 (DoS)分布式拒绝服务 (DDoS)。 这些攻击是恶意企图破坏目标系统或网络的正常运行,使合法用户无法使用。 在 DDoS 攻击中,攻击者通过大量流量或资源请求压垮目标,导致服务器过载并使服务无法访问。 这些攻击可以使用各种方法进行,例如用数据包淹没目标或发送特制的请求。 DoS 攻击和 DDoS 攻击类似,但 DDoS 攻击涉及多个来源,通常通过僵尸网络进行协调,僵尸网络是攻击者控制的受感染计算机或设备的网络。 攻击者协调这些多个源,同时对目标发动攻击。 通过利用僵尸网络的综合资源,攻击者可以生成大量流量或请求,从而压倒目标系统的容量并导致拒绝服务。 这些攻击可能会破坏防火墙状态表、CPU 资源和基础设施带宽。 可以通过对 Web应用发出单个精心设计的请求来执行 DoS 攻击,例如,导致高 CPU 和性能下降的复杂 SQL 查询。
  12. 正在催促。 这种威胁涉及使用自动机器人或脚本快速完成一系列应用流程,绕过正常的限制或检查。 通过自动化流程,攻击者或恶意用户可以获得相对于其他合法用户的不公平优势。 这种活动通常与欺骗有关,并可能给其他方造成损失。  
  13. 指纹识别。 威胁行为者使用指纹识别作为一种信息收集技术来收集和分析用户网络浏览器或设备的独特特征或属性,以创建独特的“指纹”。 这使得威胁行为者能够在不同的网站和在线平台上识别和跟踪个人用户,或者分析并随后攻击应用。 
  14. 足迹。 这本身并不是自动威胁,而是黑客攻击或侦察的初步阶段。 足迹攻击涉及使用机器人或脚本来收集有关目标 Web应用的组成、配置和安全机制的信息,从而使攻击者能够更好地规划后续攻击,例如启动有针对性的漏洞利用以获取未授权访问或利用特定漏洞。 
  15. 倒卖商品或囤积库存。 这是一种购买自动化形式,攻击者使用机器人在网上发售时购买大量限量库存商品或服务(例如音乐会门票和限量版运动鞋)。 通过即时完成结账流程,犯罪分子可以大规模控制有价值的库存,这些库存通常会在二级市场上以大幅加价转售,从而导致人为的稀缺、库存被拒以及消费者的沮丧。  
  16. 刮痧。 尽管抓取本质上并不具有恶意,但它是从网站或网络applications中提取数据的自动过程。 当抓取被用于未经授权或恶意目的时,它就会成为一种自动化威胁,例如当使用机器人从目标网站收集内容进行分析、重复使用或进行价格操纵时,尤其是在竞争激烈的市场中。 抓取数据还会影响网站性能并阻止合法用户访问网站。 
  17. 歪斜。 当恶意行为者重复点击、请求或提交 Web应用上的内容时,就会发生这种情况,从而故意影响基于应用程序的指标(例如计数、喜欢、印象、民意调查结果、频率或费率)。 可以使用模仿人类行为的自动机器人来进行倾斜,以与网络应用产生人工交互。 歪曲的目的是操纵和扭曲基于应用程序的指标生成的数据,从而导致不准确或误导性的结果。 
  18. 狙击。 这是一种恶意活动,涉及使用自动机器人或脚本在在线拍卖、销售或预订系统中获得竞争优势。 “狙击”一词通常用于限时活动或有限可用性物品的背景下,其中速度和精确的时间起着至关重要的作用,导致其他用户没有足够的时间进行竞标或报价。 狙击可以让攻击者比手动参与活动的人类用户更具竞争优势,因为机器人可以更快、更准确地执行操作。 
  19. 垃圾邮件。 这是指机器人分发的出现在网络applications的公共或私人内容、数据库或用户消息中的恶意内容或可疑信息。 恶意内容可以包括恶意软件、IFRAME弹出窗口、照片、视频、广告和跟踪/监视代码。 攻击者还利用垃圾邮件在论坛和其他消息应用中添加虚假评论,以伪造信息或分发恶意软件。 
  20. 令牌破解。 此次自动攻击是由于犯罪分子大量枚举优惠券号码、代金券代码和折扣代币造成的。 所获得的利益可能是折扣、现金替代品、信用或获得特别优惠。
  21. 漏洞扫描。 这种威胁是指使用自动化工具或脚本来识别和利用Web应用s中的漏洞。 与旨在识别弱点以提高安全性的合法漏洞扫描不同,漏洞扫描作为一种自动化威胁,是出于恶意目的,旨在危害应用程序的安全性。 犯罪分子使用自动扫描工具或脚本系统地扫描互联网上暴露的应用s,通常是在漏洞披露后立即进行。 一旦发现漏洞,犯罪分子就会试图利用这些漏洞来获取对应用、敏感数据或底层服务器基础设施的未授权访问。 

集成安全控制案例

F5 解决 OWASP 安全风险

F5 支持 OWASP 基金会及其对提高软件安全性和提高多层次人们对 Web应用安全风险和漏洞的认识的贡献。 确实, Web 应用程序和 API 都存在一些共同的安全风险,在实施安全解决方案时需要考虑。 例如: 

  • 身份验证/授权控制薄弱 
  • 配置错误 
  • 业务逻辑滥用(撞库攻击、账户接管)  
  • 服务器端请求伪造(SSRF)。

F5 提供解决方案来应对 OWASP 的 Web应用s自动威胁项目中概述的风险。 F5 分布式云机器人防御可防止绕过现有机器人管理解决方案的欺诈和滥用,并提供实时监控和情报以及基于 ML 的回顾性分析,以保护组织免受自动攻击,而不会带来用户摩擦或破坏客户体验。 无论攻击者如何重组,无论攻击从 Web 应用程序转向 API,还是试图通过欺骗遥测或使用人工 CAPTCHA 求解器来绕过反自动化防御,分布式云机器人防御都能保持有效性。 F5 机器人管理解决方案从应用代理、平台和内容分发网络 (CDN) 提供灵活的插入点。

F5 Web应用防火墙解决方案还可以阻止和缓解OWASP Top 10(一份得到广泛认可的最关键 Web应用安全风险列表)所确定的各种风险。 F5 WAF 解决方案结合签名和行为保护,包括来自 F5 实验室的威胁情报和基于 ML 的安全性,以跟上新兴威胁。 它减轻了在云、本地和边缘环境中一致保护应用s的负担和复杂性,同时通过集中式 SaaS 基础设施简化了管理。 F5 WAF 还通过将保护措施集成到具有核心安全功能、集中编排和监督的开发框架和 CI/CD 管道中,通过单个仪表板简化了应用程序安全性,该仪表板可以 360 度查看跨分布式应用s的应用程序性能和安全事件。 与专门的机器人防御集成的 WAF 提供了强大的解决方案,可减轻包括漏洞利用和自动化威胁在内的顶级安全风险。  

随着应用程序的发展和 API 部署的增加,F5 提供解决方案来保护不断扩大的攻击面和新出现的威胁,从而解决OWASP API 安全十大风险中确定的风险 F5 Webapplication和 API 保护 (WAAP) 解决方案通过全面的保护来防御整个现代应用程序攻击面,这些保护包括 WAF、 API 安全、L3-L7 DDoS 缓解以及针对自动威胁和由此产生的欺诈的机器人防御。 分布式平台可以轻松部署一致的策略并在整个应用程序和 API中扩展安全性,无论它们托管在何处,并将保护功能集成到 API 生命周期和更广泛的安全生态系统中。

F5 还提供多层 DDoS 保护以实现高级在线安全,作为一种托管的、云交付的缓解服务,可以实时检测和缓解大规模网络、协议和应用程序攻击;本地硬件、软件和混合解决方案也可以提供相同的保护。 F5 分布式云 DDoS 缓解功能可在容量和特定于应用程序的 3-4 层攻击以及高级 7 层攻击到达您的网络基础设施和应用s之前防御这些攻击。