Компания Cloudflare опубликовала статистику о характере трафика, обработанного системной доставки контента с 1 апреля 2023 года по 31 марта 2024 года. За год доля сомнительного, вредоносного или мусорного HTTP-трафика, который был блокирован или перенаправлен на проверочные страницы для отсеивания ботов (JavaScript-проверка или капча), увеличилась с 6% до 6.8% в среднем за год. Пиковые значения подобного трафика достигали 12% в определённые дни.
53.9% из блокированного или направленного для дополнительной проверки трафика приходится на вредоносную деятельность, попытки атак и активность ботов, 37.1% – на трафик DDoS-атак, а 7.2% – на запросы с IP-адресов, имеющих плохую репутацию и находящихся в чёрных списках.
Несмотря на то, что наиболее популярным типом атак на web-приложения остаётся DDoS-атаки, вызывающие отказ в обслуживании, отмечается возрастание значения атак, нацеленных на эксплуатацию неисправленных уязвимостей. Администраторам рекомендуется не затягивать с установкой обновлений с устранением критических уязвимостей, так как подобные атаки становятся всё более оперативными.
Например, продукт JetBrains TeamCity начали атаковать спустя всего 22 минуты после появления в открытом доступе прототипа эксплоита для неисправленной уязвимости CVE-2024-27198, позволяющей получить доступ без аутентификации. Из наиболее активных атак упоминаются попытки эксплуатации уязвимостей в Apache Struts (CVE-2023-50164), Apache Spark (CVE-2022-33891), Adobe Coldfusion (CVE-2023-29298, CVE-2023-38203, CVE-2023-26360) и MobileIron (CVE-2023-35082).
31.2% от всего трафика связывается с активностью ботов, при том, что лишь 7% запросов от ботов генерируются известными легитимными сервисами, такими как поисковые системы, остальные 93% отнесены к категории неизвестных ботов, которые потенциально могут совершать вредоносные действия.
Из тенденций также отмечается рост трафика, связанного с обращением к Web API, отдающих ответы в форматах JSON или XML. Доля подобных запросов достигла отметки в 60% от всего динамически генерируемого (не кэшируемого) трафика. По оценке Cloudflare треть от запросов к API связаны с обращением к “теневым” API-обработчикам, которые не учитываются организациями (явно не преподносятся как публично доступные Web API) и должным образом не защищаются.
В среднем корпоративные клиенты Cloudflare используют в своих web-сервисах 47 сторонних скриптов. Наиболее популярными провайдерами сторонних скриптов названы Google (Tag Manager, Analytics, Ads, Translate, reCAPTCHA, YouTube),Meta (Facebook Pixel, Instagram), Cloudflare (Web Analytics), jsDelivr, New Relic, Appcues, Microsoft (Clarity, Bing, LinkedIn), jQuery, WordPress (Web Analytics, плагины), Pinterest, UNPKG, TikTok и Hotjar.
В ходе работы корпоративных web-приложений в среднем осуществляется подключение почти к 50 внешним сервисам (как правило, используемые сторонние скрипты передают данные на внешние хосты, например, Google Analytics отправляет статистику на серверы Google). Среди наиболее популярных внешних сервисов, к которым осуществляется подключение: Google (Analytics, Ads), Microsoft (Clarity, Bing, LinkedIn), Meta (Facebook Pixel), Hotjar, Kaspersky, Sentry, Criteo, tawk.to, OneTrust, New Relic и PayPal.