|内容简介

2022年，应用程序和API攻击数量创下新高，Log4Shell和Spring4Shell等漏洞的出现加剧了这一趋势。

攻击媒介方面，本地文件包含（LFI）攻击数量激增，服务器端请求伪造（SSRF）、服务器端模板注入（SSTI）和Web shell等新兴攻击技术也日益流行。

不同行业中，商业、高科技和金融服务行业受攻击最严重，制造业和医疗行业的攻击数量也有显著增长。

OWASP将API攻击纳入十大安全漏洞候选名单，强调API风险的独特性。受损的对象级别授权（BOLA）和身份验证是API攻击的主要风险点。

企业应加强应用程序和API的安全防护，采用Web应用程序和API保护/Web应用程序防火墙（WAAP/WAF）、内部分段/安全围栏和及时修补漏洞等方法，以抵御不断进化的攻击手段。