應用程式安全

本文基于《Imperva 2025年恶意机器人报告》，报告揭示了三大核心趋势：
自动化流量新常态：2024年自动化流量首次超越人类流量，占比达51%，其中恶意机器人流量占比37%，且连续六年增长，标志着互联网交互模式的结构性变迁和企业安全挑战的新阶段。
AI赋能的攻击演进：人工智能（AI）和大型语言模型（LLMs）的普及显著降低了攻击门槛，助长了恶意自动化攻击的规模和复杂性。AI不仅用于生成机器人，还驱动其分析、学习和优化逃逸技术，催生了更具规避能力的高级机器人，并导致业务逻辑攻击的增加。
API成为攻击新焦点：随着微服务和移动应用的普及，API因其价值集中、防御相对薄弱和易于自动化，成为恶意机器人的首要攻击目标。44%的高级机器人流量直接指向API，金融服务和电信行业受攻击最严重，数据抓取、支付欺诈和账户接管是主要攻击手法。
此外，文章还详细分析了账户接管（ATO）攻击的复燃，指出其在2024年同比增长40%，并探讨了ATO攻击激增的驱动因素、最受影响行业及可能面临的监管处罚。最后，本文提出了多层次、自适应的纵深防御策略，包括超越传统WAF、强化API安全、对抗ATO、建立统一安全视图以及持续监控与威胁情报，旨在帮助企业有效应对日益智能化和规模化的恶意机器人威胁，保护数字资产和业务连续性。

2024年全球DevSecOps现状调查报告》揭示了DevSecOps领域的关键趋势与挑战，基于对1,000多名全球开发、安全和运维人员的调研，主要数据亮点

82%的组织使用6-20种安全工具。
60%的测试结果含21%-60%的噪音。
仅24%的受访者对AI代码保护“极为自信”。
86%的组织认为安全测试拖慢开发速度。

该报告概述了2023年全球DevSecOps的实践、策略、工具使用情况及其对软件安全影响的现状。它覆盖了各种专业背景的1000名IT和AppSec专业人士的调查结果，这些专业人士来自美国、英国、法国、芬兰、德国、中国、新加坡和日本。

本文介紹了360 Vulpecker Team的安全研究員黎博與張馨所進行的行動APP第三方SDK漏洞挖掘實戰。 360 Vulpecker Team專注於安卓系統和應用安全攻防領域，在安卓應用安全審計方面具有自主研發的自動化系統。本文從第三方SDK的安全現況著手，探討了SDK整合帶來的安全風險，並詳細介紹了不同SDK所存在的漏洞風險和攻擊方式。透過實例分析了推送SDK和分享類別SDK的漏洞方式，並指出了相關漏洞對應用程式的影響範圍。最後，提出了一些思考，以引發讀者對行動APP安全性的關注與深入思考。