2023年应用程序安全态势报告

一年前，我们发布了首份应用安全报告。Security Week 2023期间，我们将介绍关于缓解流量、机器人和API流量以及帐户接管攻击的最新洞见和发展趋势。

Cloudflare在过去一年取得显著增长。2023年2月，Netcraft指出，在2023年初，Cloudflare已经成为排名前百万网站中最常用的Web服务器供应商，并继续增长，市场份额达到21.71%，高于2022年2月的19.4%。

由于这种持续增长，目前Cloudflare平均每秒处理4500万个HTTP请求(高于去年的3200万)，峰值时每秒处理超过6100万个HTTP请求。Cloudflare网络处理的DNS查询也在不断增长，达到2460万次/秒。所有这些流量让我们对互联网趋势有了前所未有的了解。

在深入讨论之前，需要先定义下在本次报告中我们将会使用到的一些术语，以避免对大家造成理解上的歧义。

定义

本文中，我们将使用如下术语：

缓解流量：由Cloudflare平台应用了“终止”操作的眼球请求。包括如下操作：BLOCK,CHALLENGE,JS_CHALLENGE和MANAGED_CHALLENGE。这并不包括应用以下操作的请求：LOG、SKIP、ALLOW。与去年相比，现在我们不包括由我们的DDoS缓解系统应用了CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE操作的请求，因为在技术上只会降低连接初始化的速度。它们在请求中所占比例也相对较小。此外，我们改进了关于CHALLENGE类型操作的计算，以确保只有未解决的质询被计入缓解。有关操作的详细说明请参阅我们的开发人员文档。

机器人流量/自动化流量：被Cloudflare Bot Management系统确认由机器人产生的任何HTTP 请求。包括机器人分数在1-29(含)的请求。与去年的报告相比，这一点没有改变。

API流量：任何响应内容类型为XML或JSON的HTTP 请求。在响应内容类型不可用的情况下，例如对于缓解请求，则使用等效的Accept内容类型(由用户代理指定)。在后一种情况下，API流量不会被完全计算在内，但仍可为获得一些趋势洞察提供很好的参考作用。

除非另有说明，本文评估的时间范围是2022年3月到2023年2月(含)的12个月期间。

最后，请注意，这些数据仅根据在Cloudflare网络上观察到的流量计算，不一定代表整个互联网的HTTP流量模式。

文中的HTTP流量包括HTTP和HTTPS。

全球流量洞察

平均每天有6%的HTTP请求被缓解

从Cloudflare网络代理的所有HTTP请求来看，我们发现被缓解的请求占比下降到6%，比去年低两个百分点。2023年到目前为止，我们看到缓解的请求占比进一步下降到4-5%之间。下图中可见的较大峰值，比如6月和10月出现的峰值，通常与Cloudflare缓解的大规模DDoS攻击有关。值得注意的是，尽管缓解流量的百分比随着时间的推移而下降，但缓解的总请求量一直相对稳定，如下面的第二个图表所示，这表明全球总体干净流量有所增加，而不单单是恶意流量的绝对值减少。

81%的缓解HTTP请求是被直接BLOCK的，其余则包含各种CHALLENGE类型的操作。

DDoS缓解占所有缓解流量的50%以上。

Cloudflare提供各种安全功能，用户可以通过配置这些功能来保障应用安全。不出所料，DDoS缓解仍然是缓解第7层(应用层)HTTP请求的最大贡献者。就在上月(2023年2月)，我们报告了按每秒HTTP请求数计算最大的已知被缓解DDoS攻击(该攻击在上述图表中不可见，因为这些图表是按每天汇总的，而该攻击仅持续了大约5分钟)。

然而，与去年相比，Cloudflare WAF缓解请求显著增长，现在占缓解请求的近41%。部分原因在于我们的WAF技术进步，使其能够检测和阻止更大范围的攻击。

表格形式供参考：

请注意，与去年不同的是，上表中的产品分组方法与我们的市场营销资料和2022 Radar年度回顾中使用的分组一致。这主要影响我们的WAF产品，其中包括WAF自定义规则、WAF速率限制规则和WAF管理规则。在去年的报告中，这三个功能合计占缓解请求的31%。

要了解WAF缓解请求随时间的增长，我们可以再深入一个层级，其中可以明显看到，Cloudflare客户越来越依赖WAF自定义规则(过去称为“防火墙规则”)，以缓解恶意流量或实施业务逻辑阻止。下图中的橙色线条(防火墙规则)显示随着时间的逐步增长，而蓝色线条(L7 DDoS)呈现明显的下降趋势。

HTTP异常是通过WAF缓解的

最常见第7层攻击手段

2023年3月，HTTP异常占比与去年同期相比下降了近25个百分点。HTTP异常的例子包括格式不规范的方法名，头部的空字节字符，非标准端口或POST请求的内容长度为零。这可以归因于匹配HTTP异常特征的僵尸网络缓慢改变其流量模式。

从图中移除HTTP异常线条，可以看到在2023年初，攻击手段分布看起来更加均衡。

表格形式供参考(前10类别)

特别值得注意的是2023年2月底出现的橙色线峰值(CVE类别)。这个峰值与我们的两条WAF托管规则的突然增加有关：

这两条规则是根据CVE-2018-14774标记的，这表明了，即使是相对较老的已知漏洞，仍然经常被用于对潜在的未修补软件进行攻击。

机器人流量洞察

Cloudflare的Bot Management在过去12个月内获得了重大投资。我们推出了一些新功能，例如如可配置的启发式方法、强化的JavaScript检测、自动机器学习模型更新，以及Turnstile——Cloudflare的免费CAPTCHA替代品，改善了我们每天的人类和机器人流量分类工作。

我们对分类输出的信心非常充足。如果我们绘制出2023年2月最后一周流量的机器人分数图，可以看到非常清晰的分布，大多请求要么分类为绝对机器人(低于30)，要么为绝对人类(高于80)，大部分请求实际得分低于2或高于95。

30%的HTTP流量是自动化的。

在2023年2月的最后一周，30%的Cloudflare HTTP流量被分类为自动化流量，相当于Cloudflare网络上每秒约1300万个HTTP请求。这比去年同期下降了8个百分点。

如果仅看机器人流量，我们发现，仅有8%是由经过验证的机器人产生的，占总流量的2%。Cloudflare维护一个已知的善意(经验证)机器人列表，以便客户轻松区分行为良好的机器人提供商(如Google和Facebook)和可能不太知名或不受欢迎的机器人。目前列表中有171个机器人。

16%的未经验证机器人HTTP流量被缓解

未经验证的机器人网络流量通常包括不断在Web上寻找利用机会的漏洞扫描器，因此，近六分之一的此类流量得到了缓解，因为一些客户更喜欢限制此类工具可能获得的洞察。

尽管像googlebot和bingbot这样的经验证机器人通常被认为是有益的，大多数客户也希望允许它们，但我们也看到一小部分(1.5%)经验证机器人流量被缓解。这是因为一些站点管理员不希望站点的某些部分被爬取，而客户通常依赖WAF自定义规则来强制执行这个业务逻辑。

客户使用的最常见操作是BLOCK这些请求(13%),但我们也看到一些客户配置CHALLENGE操作(3%)，以确保任何是人类的误报仍可在必要时完成请求。

类似地，同样值得注意的是，所有缓解流量中有近80%被归类为机器人，如下图所示。有人可能指出，20%的缓解流量被归类为人类流量仍然非常高，但大多数人类流量的缓解是由WAF自定义规则生成的，常常是由于客户在其应用程序上实施国家级别或其他相关法律的阻止。这种情况很常见，例如，设在美国的公司出于GDPR合规性的原因，阻止欧洲用户的访问。

API流量洞察

55%的动态(不可缓存)流量与API有关

例如我们的Bot Management解决方案，我们也在大量投资于保护API端点的工具。这是因为大量HTTP流量与API相关。事实上，如果仅计算到达源且不可缓存的流量，则根据之前声明的定义，其中55%的流量是与API有关的。这与去年的报告使用的方法相同，55%的数字与去年相比没有变化。

如果只考虑缓存的HTTP请求(缓存状态为HIT、UPDATING、REVALIDATED和EXPIRED)，我们发现，也许有点出人意料，接近7%与API相关。现代的API端点实现和代理系统，包括我们自己的API网关/缓存功能集，实际上允许非常灵活的缓存逻辑，既允许自定义键缓存，也允许快速缓存重新验证(快至每秒一次)，以便开发人员减少后端端点的负载。

如果将可缓存的资源和其他请求(例如重定向)计算在总数中，则这个数字会减少，但仍然占流量的25%。下图中，我们提供了有关API流量的两种视角：

黄线：API流量占所有HTTP请求的百分比。这将把重定向、缓存资源和所有其他HTTP请求包括在总数中；

蓝线：API流量占动态流量(仅返回HTTP 200 OK响应码)的百分比；

65%的全球API流量是由浏览器生成的

如今，越来越多Web应用是以“API优先”方式构建的。这意味着初始HTML页面加载只提供了框架布局，大多数动态组件和数据是通过单独的API调用加载的(例如，通过AJAX)。Cloudflare自己的仪表盘就是这样。在分析API流量的机器人分数时，可以看到这种不断增长的实现范式。下图可见，大量的API流量是由我们的系统分类为“人类”的用户驱动浏览器产生的，其中近三分之二的流量集中在“人类”范围的高端。

计算缓解API流量是一个挑战，因为我们并不将请求转发到源服务器，因此不能依赖于响应内容类型。按照去年使用的相同计算方法，略高于2%的API流量被缓解，低于去年的10.2%。

HTTP异常超过了SQLi

成为API端点上最常见的攻击手段

与去年相比，HTTP异常现在超过了SQLi，成为针对API端点的最流行攻击手段(注意，图表开始处，即去年的报告发布时，蓝色线更高)。针对API流量的攻击手段在全年内并不一致，与全球HTTP流量相比变化更大。例如，请注意2023年初的文件包含攻击尝试出现激增。

探索帐户接管攻击

自2021年3月以来，Cloudflare在其WAF中提供泄露凭据检测功能。当检测到身份验证请求带有已知泄露的用户名/密码对时，客户就会得到通知(通过HTTP请求标头)。对于检测执行帐户接管暴力攻击的僵尸网络而言，这往往是一个非常有效的信号。

客户还使用这个信号，对有效的用户名/密码对登录尝试，发出双因素身份验证、密码重置，或者在某些情况下，对用户不是凭据合法所有者的情况添加日志记录。

暴力帐户接管攻击越来越多

从过去12个月的匹配请求趋势来看，2022年下半年开始出现明显的增长，这表明针对登录端点的欺诈活动越来越多。在大型暴力破解攻击中，我们观察到匹配泄露凭据的HTTP请求速率达到每分钟12k以上。

我们的泄露凭据检测功能具有匹配对以下系统身份验证请求的规则：

Drupal

Ghost

Joomla

Magento

Plone

WordPress

Microsoft Exchange

匹配常见身份验证端点格式的通用规则

这使我们能够比较来自恶意行为者的活动，其通常采取僵尸网络的形式，试图“入侵”潜在泄露帐户。

Microsoft Exchange受到的攻击超过WordPress

主要由于其热门程度，您可能会预期WordPress是风险最大和/或遭遇最多暴力帐户接管流量的应用。然而，从上述受支持系统的规则匹配情况来看，我们发现，除了我们的通用特征，Microsoft Exchange特征是最频繁的匹配。

大多数遭受暴力攻击的应用都是高价值资产，根据我们反应这一趋势的数据，Exchange账户是最有可能被攻击的目标。

从泄露凭据匹配流量的国别来看，美国遥遥领先。

展望未来

鉴于Cloudflare承载的网络流量，我们观察到广泛的攻击类型。从HTTP异常、SQL注入攻击、跨站脚本攻击(XSS)到帐户接管尝试和恶意机器人，威胁形势不断变化。因此，任何在线运营的企业都必须投资于可见性、检测和缓解技术，以确保其应用程序——以及更重要的是——其最终用户数据的安全。

我们希望本报告的结果能引起您的兴趣，至少可以让您了解互联网应用安全的状态。网络上有大量恶意行为者，而且没有迹象表明互联网安全防护将变得更加容易。

我们已经计划更新这份报告，以包含来自我们产品组合的更多数据和洞察。欢迎关注Cloudflare Radar，以获得更全面的应用安全报告和见解。

相关推荐: 找亚马逊代运营公司注意事项

很多企业都看到了跨境电商的红利，在面临国内生产成本上涨的困难前，寻求发展B2C业务，争取更大的利润。跨境电商，尤其是亚马逊平台，存在巨大的汇率差，因此成为了众多企业的首选。 绝大部分企业都没有亚马逊运营团队，要发展亚马逊电商平台这块业务，必须要解决运营团队的问…