OWASP Web 应用自动化威胁

以下是 OWASP Web 应用自动化威胁项目识别和编译的自动化威胁列表。

1. 恶意帐户组合（Account Aggregation）。此类攻击的目标是从多个站点或平台收集用户帐户凭据，通常用于身份盗窃、金融欺诈或不经授权访问敏感信息等恶意目的。帐户聚合攻击的过程是使用自动化 Bot 或脚本，模仿人类与各种 Web 服务或应用的交互。
   
2. 帐户创建滥用（Account Creation）。在此类攻击中，恶意行为者会使用自动化脚本或 Bot 在平台或网站创建大量虚假用户帐户。攻击者可以使用这些虚假帐户，向平台滥发垃圾内容、广告或恶意链接，对合法用户造成干扰和困扰。虚假帐户还可用于操纵网站或应用上的公众情绪、评价/评分，或冒充真实的用户或公众人物，传播错误信息或做出有损本人声誉的行为。此类威胁还可能导致新帐户开设欺诈（也称为第一方欺诈），其恶劣影响已波及整个数字世界。
3. 广告欺诈（Ad fraud）。此类威胁也称为点击欺诈，涉及通过欺骗性活动伪造与在线广告的互动次数（如点击次数或展示次数）。此类欺诈行为通常通过自动化 Bot 或脚本执行，其目的是为欺诈者创造收入或操纵广告绩效指标。
4. 验证码破解（CAPTCHA defeat）。此类威胁使用自动化技术绕过或规避验证码挑战，严重影响了 Web 应用的安全性，因为它允许恶意行为者绕过针对 Bot 的常用防线。验证码（区分计算机和人类的全自动公共图灵测试）是一种安全控制措施，可用于区分人类用户和自动化 Bot 或脚本。攻击者可以使用图像识别软件来处理视觉验证码问题，并可以使用机器学习算法来解决听觉验证码拼图码证码问题。在某些情况下，攻击者还会使用人工验证码解码器实时手动解码验证码。虽然验证码是一种常用的安全控制手段，但它可以被绕过，也会在合法用户的客户体验中造成不便，从而导致交易取消和收入流失。
5. 卡片破解（Card cracking）。这是一种自动化类型的网络犯罪，涉及对卡号、到期日和安全码 (CVV/CVC) 等付款卡安全功能的猜测或破解。卡片破解通常采用暴力破解攻击，即通过自动化 Bot 或脚本，系统地尝试多种卡片资料的组合，直到找到与有效卡片相符的信息组合为止。有效的卡片信息一经确定，就可以被用于各种非法活动，例如未经授权的购买行为或金融欺诈。攻击者可能会从实体店拿走一些未充值的实体礼品卡，检查礼品卡的发卡机构是否依赖使用连续编号模式。
6. 被盗卡确认（Carding）。此类自动化网络犯罪形式涉及未经授权使用被盗的支付卡信息，进行欺诈性交易或购买。犯罪分子使用自动化 Bot 或脚本在各种网站或应用上测试被盗的信用卡或借记卡资料，找出接受这些被盗信息的网站或应用。一旦自动化 Bot 找出了易受攻击的目标，就会使用被盗的卡信息进行欺诈性购买，通常是购买高价值商品或数字服务，或将可用资金转移到其他帐户。
7. 盗用帐户牟利（Cashing out）。这是指将非流动性资产或虚拟货币转换为现实世界的资金或有形商品。此类攻击常见于成功发动攻击，并窃取了在线平台或帐户的宝贵资产之后。如果攻击者控制了 Web 应用或在线平台的用户帐户，就可能会使用这些帐户将帐户所有者的资产（例如礼品卡、会员积分或虚拟货币）兑换成现金。Bot 通常用于协助兑现，因为它们使网络犯罪分子能够大规模、高效地展开此类欺诈活动。
8. 凭证破解（Credential cracking）。此类威胁是针对 Web 应用登录机制（例如登录页面、用户帐户门户或身份验证 API）的一种暴力破解攻击。攻击者将使用自动化方式，系统地尝试用户名和密码的常见组合，直到找出有效的组合，从而在未经授权的情况下访问用户帐户。这使攻击者得以开展各种恶意活动，例如身份盗窃、金融欺诈或其他未经授权的操作。
9. 凭证收割确认（Credential Stuffing）。对 Web 应用而言，这是一种最常见的威胁形式。当网络犯罪分子取得用户名/密码列表（通常购于暗网）后，会尝试使用一套凭据访问其他地方受登录保护的帐户，此过程即为撞库攻击。由于许多人会重复使用用户名和密码，此类攻击（也称为帐户接管）将非常奏效，使犯罪分子得以控制用户帐户，窃取其资产或实施第三方欺诈。
10. 拒绝库存（Denial of inventory）。此类攻击是指攻击者通过使用 Bot 将大量商品添加到购物车中，但不继续结帐购买，导致该电商货品无法流通。这种情况阻止了其他购物者购买该货品，因为系统在登记缺货状态的同时，由于购买过程并未完成，也会拒绝供应商的销售。此类自动化威胁的一种变化形式是，使用 Bot 预订或预留酒店房间、餐厅桌位或航班座位，但不完成支付。
11. 拒绝服务 (DoS) 和分布式拒绝服务 (DDoS)。此类攻击将恶意尝试破坏目标系统或网络的正常运作，使其无法为合法用户提供服务。在 DDoS 攻击中，攻击者向目标发送其无法处理的巨大流量或大规模资源请求，致使服务器过载，服务无法访问。此类攻击的实现方法有多种，例如使用数据包淹没目标，或发送特制请求。DoS 与 DDoS 攻击相似，但 DDoS 涉及多个攻击源，通常通过僵尸网络进行协调。僵尸网络由遭到入侵的计算机或设备组成，全部受攻击者控制。攻击者协调多个攻击源，同时对目标发起攻击。通过利用僵尸网络的联合资源，攻击者可以制造大量流量或请求，远远超出目标系统的处理能力，最终导致拒绝服务。此类攻击可以填满防火墙的状态表，耗尽 CPU 资源和基础设施带宽。攻击者可以通过向 Web 应用发送精心设计的单个请求，以执行 DoS 攻击，例如，复杂的 SQL 查询会导致 CPU 使用率上升，性能下降。
12. 加速执行（Expediting）。此类威胁涉及使用自动化 Bot 或脚本快速完成一系列应用流程，绕过正常的限制或检查。通过自动执行这些流程，攻击者或恶意用户可以获得对其他合法用户而言不公平的优势。此类活动通常与欺诈行为相关联，并且可能会导致其他方遭受损失。
13. 特征获取（Fingerprinting）。特征获取是威胁行为者使用的一种信息采集技术，即通过收集和分析用户网络浏览器或设备的独特特征或属性，创建用户独有的 “特征”。这使威胁行为者能够在不同的网站和在线平台上识别和跟踪个人用户，或对应用进行剖析，以便展开后续攻击。
14. 信息获取（Footprinting）。从本质上讲，这不是一种自动化威胁，而是侵入流程或侦察工作的预备阶段。踩点涉及使用 Bot 或脚本采集关于目标 Web 应用的信息，包括其结构、配置和安全机制，以便攻击者更顺利地为后续攻击制定计划，例如发起针对目标隐患的攻击，实现未经授权的访问，或利用特定的漏洞实施攻击。
15. 库存囤积（Scalping or inventory hoarding）。表现形式为自动化购买，具体是指在限量商品或服务（比如音乐会门票和限量版运动鞋）上线销售那一刻，攻击者利用 Bot 大量买入。通过瞬间完成结账过程，犯罪分子可以大规模控制有价值的库存。通常，在二级市场，这些库存商品可以大幅加价转售，这导致了人为的稀缺性、库存剥夺和消费者的沮丧情绪。
16. 信息爬取（Scraping）。爬取是指从网站或 Web 应用提取数据的自动化过程，虽然其本身并不一定具有恶意，然而，如果用其实现未经授权或怀有恶意的用途，例如，使用 Bot 从目标网站收集内容，进行分析和重复使用，或者利用它进行价格操控（在竞争激烈的市场中尤其普遍），此时，爬取就会变成一种自动化威胁。爬取还可能影响站点性能，阻止合法用户访问站点。
17. 重放（Skewing）。恶意行为者在 Web 应用上重复点击、请求或提交内容，故意影响基于应用的度量数据（如计数、点赞数、展示次数、投票结果、频率或速率），此时就会产生数据倾斜。数据倾斜的实施过程是使用模拟人类行为的自动化 Bot，生成与 Web 应用的人造交互。数据倾斜的目的是操纵和扭曲基于应用度量指标生成的数据，导致不准确或有误导性的结果。
18. 交易狙击（Sniping）。这是一种恶意活动，涉及使用自动化 Bot 或脚本在网络拍卖、销售或预订系统中获得竞争优势。“狙击” 一词通常用于与限时活动或限量商品相关的情境，指的是让其他用户没有足够时间竞标或出价的行为，此时速度和精准把控时机将至关重要。Bot 可以更快、更准确地执行操作，因此，比起手动参与活动的人类用户，狙击将使攻击者获得更大的竞争优势。
19. 垃圾信息（Spamming）。这是指由 Bot 分发的恶意内容或可疑信息，在 Web 应用的公共内容、私人内容、数据库或用户消息中都可能出现。这些恶意内容可能包含恶意软件、IFRAME 弹窗、照片、视频、广告以及追踪/监控代码。攻击者也会通过发送垃圾信息在论坛和其他消息应用中添加虚假评论，从而篡改资讯或者传播恶意软件。
20. 凭据破解（Token Cracking）。此类自动化攻击是指犯罪分子对优惠券号码、代金券码和折扣代币进行大规模枚举。他们获得的好处可能是折扣、代金券、信用额度或特别优惠。
21. 漏洞扫描（Vulnerability Scanning）。此类威胁是指使用自动化工具或脚本识别并利用 Web 应用中的漏洞。不同于旨在识别弱点以提高安全性的合法漏洞扫描，被归类为自动化威胁的漏洞扫描带有恶意，意在破坏应用的安全性。犯罪分子会使用自动化扫描工具或脚本，系统地扫描暴露在互联网上的应用，他们通常会在漏洞公开后立即执行此类行为。一旦发现漏洞，犯罪分子会试图利用它们，实现对应用、敏感数据或底层服务器基础设施的未经授权访问。