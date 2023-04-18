L'année 2022 a été une année record pour les attaques d'applications et d'API et a été marquée par la poursuite de la lutte contre les failles de type Zero Day. Fin 2021, juste après Log4Shell, les organisations se sont retrouvées dans la ligne de mire d'autres failles importantes : la faille Atlassian Confluence, ProxyNotShell et Spring4Shell.

Nous avons également constaté que les nouvelles tendances en matière de logiciels malveillants (comme les SSTI et l'injection de code côté serveur) constituent de sérieuses menaces pour les entreprises, car elles peuvent entraîner l'exécution de codes à distance et l'exfiltration de données. En outre, les attaques SSRF se sont multipliées : Nous avons observé une moyenne quotidienne de 14 millions de tentatives de SSRF contre les applications Web et les API de nos clients qui pourraient permettre l'accès à des ressources internes.

Les vulnérabilités de type Zero Day dans les logiciels libres sont de plus en plus fréquentes, de même que les techniques SSTI qui permettent l'exécution de codes à distance. Nous constatons également que les acteurs malveillants utilisent des shells Web dans le cadre de campagnes de menaces persistantes avancées et de la dissimulation de requêtes HTTP (HTTP Request Smuggling).