安全公司 Imperva Cloud WAF 保護了全球超過10萬個網站，並且每天觀察到大約10億次攻擊。他們每天都會檢測到成千上萬種黑客工具，並採取各種措施來阻止惡意請求。在本文中，研究人員將分享有關研究人員在2019年觀察到的最危險工具和攻擊的資訊。

研究人員使用先進的智慧客戶端分類機制對各種Web客戶端進行分類，為了確定黑客最常用的工具，研究人員查看了2019年期間發現的所有攻擊，並將它們歸類為安全事件。通過對資料進行聚類，研究人員能夠減少大型攻擊造成的偏差，而不是專注於對多個站點的不同攻擊。

值得注意的是，隨著Google Go語言的興起，流行的編碼語言Python仍然是大多數黑客的首選武器。

接下來研究人員可以看到WinHttp庫，主要由執行在Windows上的.net和CPP使用，然後是Shell工具，如cURL、wget等，其餘的頂級工具更多。

程式語言和瀏覽器，研究人員將提供更多關於頂級工具的有趣統計資料，如攻擊型別和來源國家分佈。研究人員還將介紹了一些頂級工具，最後給出一些建議，告訴你如何保護你的網站不受這些工具的影響。

統計資料分析

研究人員決定檢視一些GitHub的統計資料，以瞭解哪些語言使用得最多。根據GitHut 2.0,Python和Go位列2019年五大語言之列。

為此，研究人員決定重點關注GitHub中的網路安全專案，假設大多數攻擊工具都標有此類標籤。 GitHub並未對每個儲存庫進行分類，但是GitHub中的安全主題包含超過8500個與安全相關的儲存庫，這是一個相當大的示例。

看看這些庫中使用的前五種語言，研究人員可以看到Python排在第一位，遙遙領先，然後是Java、JavaScrIPt、PHP，最後是Go。看到主要的web語言(如PHP和JavaScrIPt)或使用廣泛的語言(如Python和Java)在列表中名列前茅，這並不奇怪。但是Go在2019年成為了榜首，更有趣的是，它取代了基於shell的程式碼。

將GitHub的統計資料與Stack Overflow趨勢進行比較時，研究人員得到了類似的情況。很難解釋為什麼關於Go的漏洞沒有來自Go儲存庫的拉取請求那麼多。一個令人驚訝的統計資料是Python的使用量迅速而急劇的上升，平均每年增長13%，在十年內幾乎翻了兩番。

Cloud WAF統計資訊

為了瞭解這些工具在研究人員保護的網站上攻擊的傳播情況，研究人員建立了一個圖表，顯示2019年每種工具攻擊的網站百分比。研究人員觀察到的工具在事件數量和被攻擊站點的百分比方面都處於領先地位。大多數站點每個月都會受到Python的攻擊，而30%-50%的站點會受到其他工具的攻擊。

為此，研究人員決定觀察兩種最流行、變種最多的攻擊——XSS和SQLi，以及通過Go和Python使用這些攻擊的嘗試。

值得注意的是，到2019年底，Go在兩種攻擊中都趕上了Python。雖然現在判斷這一趨勢是否會持續還為時過早，但很容易看出，到2019年底Go已經變得更加流行。

研究人員想檢查一下觀察到的每種主要攻擊型別的工具分佈情況：

如你所見，Python在RCE/RFI、檔案上傳和資料洩漏方面是最強的工具，而Go在常規自動攻擊中更強大。

讓我們根據來源IP檢視工具使用情況的國家/地區分佈圖：

中國使用Python的方式比其他任何國家都多，而印度選擇Go作為其首選工具。很難說為什麼，但是鑑於這些國家/地區的網路活動知名度很高，因此新加入這個市場的黑客可能選擇了現代工具進行他們的邪惡活動。

根據IP來判斷攻擊數量

令人驚訝的是，使用該工具進行攻擊的IP數量與該工具引發的安全事件數量之間並沒有很強的相關性。這可以部分地由這些工具所涉及的攻擊型別來解釋。複雜的，自動的攻擊往往可以協調進行，即大規模大規模攻擊。

通過觀察事件與IP之間的比率，可以進一步驗證該假設。請求率低的工具(可以很容易地用於瀏覽器模擬)具有非常低的事件IP比率。相比之下，能夠輕易生成大規模攻擊的工具(如Go和Python)的IP發生率要高得多。

讓我們來看看位和位元組：

最受歡迎的Python庫是請求，Urllib和非同步IO

非同步IO庫的使用自去年以來已經增長，但它仍然排在最後。然而，由於它在用Python編寫非同步程式時所具有的強大功能，研究人員希望在將來看到更多的增長。

研究人員決定檢查一些通常被黑客工具利用的CVE：

首先，大約有700萬個HTTP請求是（CVE-2017-9841），這是PHPUnit中的一個遠端命令執行漏洞，PHPUnit是一個廣泛使用的PHP測試框架。深入瞭解其歷史時，似乎CVE已於2017年6月釋出，而修復程式已於2016年11月11日提交。

在2019年9月4日，Drupal釋出了關於Mailchimp中一個漏洞的公共服務公告（PSA-2019-09-04），該漏洞使用PHPUnit作為第三方庫。此外，2020年1月7日，PrestaShop（用PHP編寫的電子商務解決方案）釋出了一個安全公告，內容涉及名為XsamXadoo Bot的惡意軟體正在利用的PHPUnit漏洞。這些公告使CVE復活，在Twitter上引發了炒作，在該處釋出了許多與該漏洞有關的帖子。此外，漏洞資料庫（如VulnDB）也更新了與此CVE相關的記錄並添加了新連結-例如，2017年在部落格中寫回的POC，只能通過回溯裝置獲得。當研究人員檢查資料時，嘗試找到Go-lang攻擊工具使用的流行CVE，研究人員發現，最流行的一個CVE實際上是一組CVE（CVE-2016- 5385，CVE-2016-5386，CVE-2016-5387，CVE-2016-5388，CVE-2016-1000109和CVE-2016-1000110）。所有這些CVE與HTTP_PROXY環境變數中的漏洞（稱為“ httpoxy”）有關。

在CGI或類似CGI的上下文中執行的Web伺服器可以將客戶端請求代理標頭值分配給內部HTTP_PROXY環境變數，可以利用此漏洞對內部子請求進行中間人（MITM）攻擊或指導伺服器啟動與任意主機的連線。

讓研究人員轉到cURL，這是最常見的攻擊shell工具。有一個有趣的CVE，在Apache Struts (CVE-2016-3087)中執行遠端程式碼，大約有100K個HTTP請求。Apache Struts是一個免費的、開放原始碼的模型-檢視-控制器(MVC)框架，用於建立優雅的、現代的Java web應用程式。當使用REST外掛時，可以執行遠端程式碼!操作符在啟用動態方法呼叫時使用。

緩解措施

如果你有一個客戶機分類機制，它可以像檢視使用者代理那樣簡單，那麼這些見解將允許你輕鬆地抵禦許多常見的攻擊。要理性對待這些工具，如果你不期望你的應用程式或部分應用程式被這些工具訪問，那麼就阻止來自它們的請求。在其他情況下，你可能知道只有特定的IP應該使用這些工具，例如執行執行狀況監視的IP，你可能希望單獨限制對這些IP的訪問。

好了，就給大家介紹到這裡吧，希望大家喜歡小編的分享。