Log4Shell 和 Spring4Shell 等重大漏洞的出现印证了 Web 应用程序和 API 所带来的严重风 险，也体现出这些威胁面的重要影响。为了加强整体运营，企业依然在积极采用更多 Web  应用程序。平均而言，每家企业使用的应用程序数量已经达到了 1061 个，充分体现出这一 攻击面在不断扩大。现有安全漏洞依然让攻击者有机可乘，层出不穷的新兴零日漏洞更是 雪上加霜，促使企业比以往更需要加强应用程序安全性，以保护机密数据和安全边界。 2022 年，应用程序和 API 攻击数量创下新高。2021 年末，Log4Shell 爆出后不久，企业就 发现自己四面楚歌，还有其他多个重大漏洞威胁着他们的安全，其中包括：Atlassian  Confluence 漏洞 (CVE-2022-26134)、ProxyNotShell 漏洞 (CVE-2022–41040) 和 Spring4Shell/SpringShell (CVE-2022-22965) 等。API 漏洞利用攻击的数量不断增加，即将 发布的新版开放式 Web 应用程序安全项目 (OWASP) API 十大安全漏洞已将 API 漏洞纳入 其中，这表示 API 安全风险已经引起了业界的极大关注。随着攻击频率的激增，攻击的复 杂性也在提高，攻击者在不断“进化”，努力寻找更多新方法来利用这一不断扩大的攻击 面。例如，攻击者团体使用 Web shell（例如 China Chopper）发动高度有针对性的攻击， 比如 Hafnium 团体就曾对美国的国防和教育机构发起过此类攻击。