应用安全

本文基于《Imperva 2025年恶意机器人报告》，报告揭示了三大核心趋势：
自动化流量新常态：2024年自动化流量首次超越人类流量，占比达51%，其中恶意机器人流量占比37%，且连续六年增长，标志着互联网交互模式的结构性变迁和企业安全挑战的新阶段。
AI赋能的攻击演进：人工智能（AI）和大型语言模型（LLMs）的普及显著降低了攻击门槛，助长了恶意自动化攻击的规模和复杂性。AI不仅用于生成机器人，还驱动其分析、学习和优化逃逸技术，催生了更具规避能力的高级机器人，并导致业务逻辑攻击的增加。
API成为攻击新焦点：随着微服务和移动应用的普及，API因其价值集中、防御相对薄弱和易于自动化，成为恶意机器人的首要攻击目标。44%的高级机器人流量直接指向API，金融服务和电信行业受攻击最严重，数据抓取、支付欺诈和账户接管是主要攻击手法。
此外，文章还详细分析了账户接管（ATO）攻击的复燃，指出其在2024年同比增长40%，并探讨了ATO攻击激增的驱动因素、最受影响行业及可能面临的监管处罚。最后，本文提出了多层次、自适应的纵深防御策略，包括超越传统WAF、强化API安全、对抗ATO、建立统一安全视图以及持续监控与威胁情报，旨在帮助企业有效应对日益智能化和规模化的恶意机器人威胁，保护数字资产和业务连续性。

2024年全球DevSecOps现状调查报告》揭示了DevSecOps领域的关键趋势与挑战，基于对1,000多名全球开发、安全和运维人员的调研，主要数据亮点

82%的组织使用6-20种安全工具。
60%的测试结果含21%-60%的噪音。
仅24%的受访者对AI代码保护“极为自信”。
86%的组织认为安全测试拖慢开发速度。

该报告概述了2023年全球DevSecOps的实践、策略、工具使用情况及其对软件安全影响的现状。它覆盖了各种专业背景的1000名IT和AppSec专业人士的调查结果，这些专业人士来自美国、英国、法国、芬兰、德国、中国、新加坡和日本。

本文介绍了360 Vulpecker Team的安全研究员黎博和张馨所进行的移动APP第三方SDK漏洞挖掘实战。360 Vulpecker Team专注于安卓系统和应用安全攻防领域，在安卓应用安全审计方面具有自主研发的自动化系统。本文从第三方SDK的安全现状入手，探讨了SDK集成带来的安全风险，并详细介绍了不同SDK存在的漏洞风险和攻击方式。通过实例分析了推送SDK和分享类SDK的漏洞利用方式，并指出了相关漏洞对应用的影响范围。最后，提出了一些思考，以引发读者对移动APP安全性的关注和深入思考。