---
url: 'https://www.corbado.com/zh/blog/application-security-risks'
title: '可预防的7大应用安全风险'
description: '深入分析7大应用安全风险及真实数据泄露案例，并探讨如何通过现代身份验证和安全措施进行预防。'
lang: 'zh'
author: 'Muhammad Aqeel'
date: '2026-05-27T10:54:32.774Z'
lastModified: '2026-05-27T10:54:55.106Z'
keywords: '应用安全风险, 越权访问, 云错误配置, 敏感数据暴露'
category: 'Authentication'
---

# 可预防的7大应用安全风险

## Key Facts

- 2022年至2024年间，MGM、Uber、CircleCI和Ticketmaster发生的数据泄露事件暴露了超过**6亿用户**的个人数据，造成数亿美元的损失。
- 2023年**MGM Resorts数据泄露事件**始于一次针对IT服务台支持的语音钓鱼（vishing）电话，使攻击者得以重置凭据并部署勒索软件，导致系统中断7天。
- **Snowflake数据泄露事件**波及165家机构，包括Ticketmaster（5.6亿客户记录）和AT\&T，原因在于攻击者利用信息窃取恶意软件从未使用多因素身份验证（MFA）的账户中窃取凭据。
- **设备绑定会话凭据（DBSC）**通过将加密会话与特定设备绑定来防止会话cookie被盗，使从其他计算机窃取的cookie无法使用。
- 报告中提到的所有发生数据泄露的组织在其系统被入侵之前，均已有条件部署通行密钥：通行密钥在2022年至2024年间已是非常成熟的可用技术。

## 1. 简介

从2022年9月到2024年5月，包括Uber、MGM Resorts、CircleCI、Ticketmaster等多家大型企业，在攻击者未经授权访问其用户账户系统后面临安全漏洞。这些攻击造成了超数亿美元的损失，暴露了超过6亿用户的个人数据，而当时如果能取代过时的身份验证系统，本可防止这些安全漏洞。

事件表明没有证据显示攻击者使用了复杂的零日漏洞或利用未知漏洞实施攻击。这些案例揭示了组织未能防范安全风险的根源。大多数组织意识到MFA疲劳攻击，却未能防范它们，且他们认识到了基于密码的系统的脆弱性却坚持使用。

## 2. 传统身份验证的失败

薄弱或传统的身份验证通常是攻击者的切入点。大多数安全漏洞始于攻击者获取窃取或重复使用的密码，尽管组织有机会采用成熟的通行密钥身份验证系统来提供防钓鱼保护。[2023年MGM Resorts数据泄露事件](https://www.forbes.com/sites/steveweisman/2025/03/12/mgm-ransomware--attack-update/)始于攻击者利用语音钓鱼骗取IT服务台支持，从而重置凭据并部署勒索软件，造成系统中断7天。

MGM和其他组织的安全系统使用了密码结合基于短信的双因素身份验证，这无法抵御社会工程学攻击和凭据窃取。这些组织深知安全威胁，却因现有系统和工作流程的阻碍而未能建立更好的身份验证系统。

使用公钥加密和生物特征识别的通行密钥本可大大降低这些攻击成功的风险。通行密钥比密码更安全，因为用户无法通过共享重置代码通过远程访问或服务台支持重置它们，这能够防范社会工程攻击。当账户恢复流程未得到妥善保护或设备感染恶意软件时，通行密钥的安全性仍容易受到特定攻击方法的影响。

## 3. 基于会话和Cookie的攻击

攻击者重点关注获取cookie，因为这有助于获得系统访问权限并绕过所有身份验证程序。[2022年CircleCI泄露事件](https://thehackernews.com/2023/01/malware-attack-on-circleci-engineers.html)突显了这一点，展示了员工笔记本电脑上的信息窃取恶意软件如何轻易窃取活动会话cookie。攻击者使用这些cookie绕过了双因素身份验证并进入了生产系统。

会话cookie由于充当承载令牌而成为绕过访问控制的手段，促成了敏感数据暴露。为了防止此类事故，组织可以实施设备绑定会话凭据（DBSC），通过使用加密方法将会话与特定设备关联，保护用户免遭会话窃取。这使得从其他计算机窃取的cookie无法使用。DBSC系统有效防范了运行在各种设备上的信息窃取恶意软件，但在恶意软件感染最初注册的设备时无法阻止攻击。

## 4. 越权访问

当攻击者突破应用程序中的访问控制时，他们可以不顾自身权限横向移动。因授权漏洞造成的安全风险居高不下，由于攻击者在多次网络攻击中成功利用了不足的访问控制在系统组件之间跳转。

为了识别IDOR（不安全的直接对象引用）漏洞，应用程序开发人员应使用基于概念的威胁建模来检测基本的访问管理结构，并实施代码审查流程以验证服务账户权限。

选择复杂的角色分配和权限管理而不是最小权限模型可能会让组织面临授权问题的风险。复杂的角色分配可能导致未经授权的人员访问面向客户的应用程序中的敏感信息和功能。没有安全的授权框架，组织就无法保护其数据免受未经授权的访问和操作。

随着B2C安全问题的增加，单一妥协账户可能会对多个用户账户造成重大损害。通过实施特权访问管理，组织可以仅授予员工和客户完成工作所需的最低权限。此外，定期的概念威胁建模和代码审查有助于轻松发现风险和漏洞。

## 5. 不安全的AI集成

将GenAI和LLM快速集成到应用程序中已经超出了传统控制手段检测这些变化的能力，从而带来了看不见的安全风险。[2024年Snowflake数据泄露事件](https://en.wikipedia.org/wiki/Snowflake_data_breach)展示了威胁行为者如何利用信息窃取恶意软件攻击获取的被盗凭据进入未强制执行多因素身份验证的Snowflake客户环境。该攻击波及超过165家机构，包括拥有5.6亿客户记录的Ticketmaster、AT\&T以及桑坦德银行。

组织往往未能认识到AI是IT环境的核心部分，使得模型、向量化数据存储和AI流水线等AI资源容易遭遇配置错误和网络攻击风险。由于“影子AI”现象，即未经授权的个人可以在不被内部发现的情况下发起基于凭据的攻击，大多数组织发现有效监控AI系统非常困难。

如果组织像对待其他IT基础设施一样，对AI系统应用诸如输入验证、隔离和持续监控等基础安全控制，这些安全事件本可以避免。组织可以通过使用提供所有AI资源完整清单的[AI安全工具](https://www.wiz.io/academy/ai-security-solutions)来自动识别并修复配置错误。

## 6. 云和运行时环境配置错误

云环境中的配置错误，包括暴露的存储桶、权限过大的安全组以及暴露的容器，都可能导致安全事件。2022年[ePallet泄露事件](https://www.websiteplanet.com/blog/epallet-leak-report/)表明，配置错误的Amazon S3存储桶可能暴露使用其工具的其他企业的敏感客户数据。攻击者主要通过两个载体访问敏感信息：不受保护的存储桶和缺乏有效访问控制的安全组。

基本合规扫描显示，这些攻击主要来自两个方面：具有用户特定数据的可公开访问存储以及暴露的虚拟管理端口。组织可能会将这些配置错误视为符合合规要求的短期补救措施，但大多数最终成为数据泄露的突破口。

应当通过持续的云安全态势管理或运行时安全检查持续进行配置错误的识别与修复，从而大大降低攻击者利用漏洞的风险。组织可以使用自动扫描和监控工具来发现配置错误，然后由监控平台进行修复。

## 7. SDLC中缺乏安全性

当安全功能未适当集成到软件开发生命周期（SDLC）时，漏洞就会进入生产过程。一家加密初创公司[在CI/CD流水线中配置错误的GitHub Action](https://infosecwriteups.com/day-16-the-ci-cd-betrayal-how-a-tiny-github-action-misconfiguration-led-to-a-800-cloud-breach-05a229c0684d)在不知不觉中共享了AWS凭据，帮助攻击者挖掘了价值800美元的加密货币。

SAST/DAST、安全代码审查和依赖项扫描可以识别常见的安全漏洞。它们可能包括注入攻击、不安全的反序列化以及不安全的直接对象引用，但在完全忽视安全时，这些问题会一直存在。

将安全集成到SDLC中可使开发人员在将其Web应用程序部署到生产环境之前，识别并解决安全漏洞。要防止这些问题，需要组织实施三大基础安全实践：自动扫描、依赖项管理和安全代码审查。

## 8. 监控与修复流程不充分

组织不断遭遇安全漏洞很大程度上是因为他们无法识别预警指标，并且缺乏针对系统异常的明确修复流程。鉴于[2022年Uber泄露事件](https://www.researchgate.net/publication/383425090_Dissecting_The_Uber_Security_Breach_Root_Cause_Analysis_and_Mitigation_Strategies)，组织应持续监控其计算机系统并按照现行行业标准制定针对安全违规的明确响应程序。由于没有详尽记录安全事件，组织难以监控凭据填充、异常设备访问尝试或异常令牌交易。

组织发现检测身份验证和登录尝试或记录用户注册事件十分困难，因为他们收集的信息缺乏足够的细节以尽早识别安全权限滥用。

组织的系统需要通过注重隐私的遥测和基于算法的自动响应程序来识别和管理异常事件。AI检测与响应功能将帮助组织识别安全事件之间的关系并阻止漏洞的发生。

## 9. 结论

研究MGM、Snowflake、Uber和CircleCI泄露事件最令人沮丧的地方在于，这些事件原本是可以避免的。这些事件之所以不可避免，是因为当前技术缺乏以安全为重点的企业已经在其身份验证系统中使用的必要功能。

本报告中的所有组织在其系统被入侵之前，都有机会部署通行密钥。尽管通行密钥在2022年至2024年间已是成熟的可用技术，但设备绑定会话凭据（DBSC）直到2024年才被广泛使用。该系统包含了多种云安全控制手段，如强制多因素身份验证、网络白名单、最小权限IAM以及监控。然而，要实现全面保护，这些控制手段需要手动设置。

一些组织的安全团队支持采用这些控制手段，却没能克服全公司对变革的阻力。结果导致超过6亿人的个人数据泄露、遭到监管调查，并带来数亿美元的总损失。

组织开展的研究表明，基于凭据的攻击正呈加速上升之势，因此组织必须立即处理这一严重的安全威胁。你的组织需要决定是在其他组织将你的安全失误作为其违规调查案例之前，还是之后，采用现代身份验证系统。

应用安全工具不仅存在，而且通过简单的流程自动运行，不需要复杂的安装程序。其投资回报率（ROI）是可衡量的。安全社区缺乏紧迫感，这阻碍了他们认识到身份验证现代化是必不可少的安全控制手段。组织需要立即采取行动，否则下一次服务台电话、钓鱼邮件和信息窃取恶意软件将演变成损失上亿美元的事件。

## 常见问题解答

### CircleCI泄露事件是如何绕过双因素身份验证的？

在2022年的CircleCI泄露事件中，员工笔记本电脑上的信息窃取恶意软件直接窃取了活动会话cookie。由于会话cookie充当授予即时访问权限的承载令牌，攻击者利用它们完全绕过了双因素身份验证并进入了生产系统。

### 在安全性方面，DBSC与标准会话cookie有什么区别？

标准会话cookie可能被信息窃取恶意软件窃取并从任何设备重用，从而绕过身份验证控制。设备绑定会话凭据（DBSC）采用加密方法将会话与创建它的特定设备绑定，因此无法从攻击者控制的机器上重放窃取的cookie。

### 为什么越权访问会在Snowflake泄露事件中造成如此广泛的破坏？

Snowflake泄露事件波及超过165个客户组织，因为各个租户环境缺乏MFA强制措施，这意味着一套被盗凭据就能解锁整个客户的数据存储。仅Ticketmaster就因这一控制漏洞导致5.6亿客户记录被曝光。

### 导致GitHub Actions加密货币挖掘事件的SDLC安全故障是什么？

加密初创公司CI/CD流水线中配置错误的GitHub Actions工作流在暗中向攻击者泄露AWS凭据，攻击者利用这些凭据挖掘了800美元的加密货币。文章指出了自动SAST/DAST扫描、依赖项管理和安全代码审查是将这一配置错误在部署到生产环境之前揪出来的三种有效做法。