摘要：

本文盘点7类正在被忽视的新型暴露面，每一类给出完整处置思路，并告诉你如何用腾讯云RAS升级到暴露面2.0时代的资产管理能力。

一、暴露面 1.0 vs 暴露面 2.0

┌─────────────────────────────────────────────────────────┐
│  暴露面 1.0（2015~2020）                                 │
│  IP + 端口 + 域名 + 常见 Web 应用                         │
└─────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────┐
│  暴露面 2.0（2021~现在）                                 │
│  以上 + API + Serverless + 容器 + 移动端 + SaaS + IoT    │
│         + 前端配置 + 供应链接口                          │
└─────────────────────────────────────────────────────────┘

1.0 的暴露面，ASM 工具基本都能扫到；2.0 的暴露面，只有真正理解业务的测绘引擎才能看全。

二、7 类新型暴露面

新型 1：API 接口

为什么危险

• API 已取代传统 Web 页面，成为核心业务载体
• 很多 API 没有鉴权、没有限流、没有签名
• OpenAPI/Swagger 文档被公开放在互联网上

攻击者怎么用

• 遍历 API 路径
• 越权访问他人数据
• 批量爬取用户/订单信息

怎么测绘

• 扫描常见 API 文档路径（/swagger、/api-docs、/openapi.json）
• 识别 API 网关指纹
• 对接业务方 API 清单比对

怎么收敛

• 所有 API 强制鉴权
• 关闭生产环境的 Swagger 文档
• 实施 API 限流与异常检测
• API 网关统一管理入口

新型 2：Serverless 函数

为什么危险

• 云函数（SCF / FC / Lambda）触发器可以是 HTTP、定时、消息、对象存储事件
• HTTP 触发器的函数等于一个"无主的 Web 应用"
• 函数权限常常过大，一个函数泄漏密钥即可控云

攻击者怎么用

• 遍历 Serverless 域名
• 触发函数执行任意逻辑
• 利用函数权限扩展到其他云资源

怎么测绘

• 识别函数 URL 指纹
• 检查函数权限范围
• 审计触发器配置

怎么收敛

• 函数执行必须鉴权
• 函数权限最小化（不给 AdministratorAccess）
• 关闭未使用的 HTTP 触发器
• 敏感操作函数走 VPC 内网

新型 3：容器镜像

为什么危险

• 镜像里可能硬编码密钥、Token、配置
• 基础镜像漏洞传导到所有派生镜像
• 公开镜像仓库可被任意拉取

攻击者怎么用

• 拉取公开镜像进行静态分析
• 发现硬编码密钥
• 利用镜像漏洞攻击运行中的容器

怎么测绘

• 扫描公共镜像仓库（Docker Hub、腾讯云 TCR、阿里云 ACR）
• 镜像静态扫描
• 对 K8s 集群运行镜像做盘点

怎么收敛

• 使用私有镜像仓库
• 镜像扫描纳入 CI/CD
• 基础镜像统一来源
• 密钥通过 KMS 注入，不硬编码

新型 4：移动 App / 小程序

为什么危险

• App 中硬编码的密钥可被反编译提取
• 小程序包里常有测试接口暴露
• Webhook 回调地址可能泄漏内网

攻击者怎么用

• 反编译 APK/IPA 提取密钥
• 查看小程序包里的 API 列表
• 利用回调漏洞攻击后台

怎么测绘

• 对应用市场上的 App 包做扫描
• 对小程序开放平台做关联分析
• 审计 App 内嵌资源

怎么收敛

• 密钥不放在客户端
• App 发布前做安全扫描
• 敏感 API 走签名 + 时间戳

新型 5：SaaS 订阅

为什么危险

• 钉钉、飞书、Office 365、Salesforce、Workday……每一个都存着核心数据
• SaaS 订阅往往不归 IT 管，零盘点
• 员工离职后账号没清理，造成长期风险

攻击者怎么用

• 社工 + 钓鱼登录员工 SaaS 账号
• 下载核心业务数据
• 甚至利用 SaaS 伪装发起二次攻击

怎么测绘

• 财务报销系统反推（"这个 SaaS 谁在付钱"）
• SSO 日志反推
• 网络流量反推

怎么收敛

• SaaS 订阅纳入 CMDB
• SSO 统一登录
• 离职即时回收
• 定期审计权限

新型 6：IoT / 工业控制通道

为什么危险

• IoT 设备管理通道（MQTT、CoAP、HTTP）常常暴露
• 工业控制系统（PLC、SCADA）历史上默认无认证
• 一旦被控制，物理影响远大于数据泄漏

攻击者怎么用

• 扫描 IoT 管理端口
• 利用默认凭据登录
• 控制设备执行任意操作

怎么测绘

• 专用 IoT 协议扫描
• 对 Shodan/Censys 数据做比对

怎么收敛

• IoT 设备管理通道内网化
• 默认密码立即修改
• VPN / 零信任接入

新型 7：前端配置文件

为什么危险

• 前端代码被编译部署到 CDN，但 .env.js、config.js、sourcemap 可能被泄漏
• 前端代码里往往硬编码了后端 API 地址、AK、甚至管理员密码
• Webpack sourcemap 会暴露完整源代码

攻击者怎么用

• 下载前端包做静态分析
• 从 sourcemap 还原源代码
• 提取 API 列表和密钥

怎么测绘

• 扫描常见前端资源路径
• 识别 sourcemap 泄漏
• 静态分析关键字

怎么收敛

• 生产环境关闭 sourcemap
• 密钥不出现在前端
• 静态资源走 CDN 但启用访问控制

三、为什么原生云安全工具"看不全"暴露面 2.0

原生云安全工具的视野大都围绕"本云内的资源配置"——它们能检查一个 API 网关的配置有没有错，却不会去扫描公网上这个 API 是否真的可被匿名调用。

也就是说：

• 原生工具在"关门之内"看配置
• RAS 暴露面测绘在"关门之外"看攻击者能看到什么

这两个视角都不可或缺，但绝大多数企业只做了前者。

四、RAS 如何覆盖暴露面 2.0

腾讯云 RAS 的暴露面测绘能力基于三个技术支柱：

1. T-SCAN 引擎：识别 7 大新型暴露面的资产指纹
2. 互联网数据资产引擎：整合互联网侧多源数据反向推导
3. SOAP 自动化编排：把资产发现 → 风险识别 → 攻击验证串起来

配合 RAS 的服务化交付（资产测绘 8.5 万/次、风险测绘 12.5 万/次、全链路 25 万/次），企业可以一次性获得完整的暴露面 2.0 视图。

五、一份"暴露面 2.0 自评打分卡"

≥ 70 分：优秀

50~69 分：需提升

< 50 分：暴露面 2.0 风险重，建议立即做全链路测绘

六、下一步行动

1. 用本文打分卡做一次自评
2. 对齐 IT/运维/开发团队：暴露面 2.0 必须多部门协作
3. 预约方案对接：在产品页提交咨询信息后，腾讯安全团队会在 3 个工作日内主动联系，与您对齐评估范围与方案——RAS 是目前市场上少数能系统性覆盖暴露面 2.0 的综合性服务之一

暴露面每扩展一个新形态，攻击者的收益就多一分，安全团队的盲区就多一块。提前一步做好测绘，就是提前一步缩小这块盲区。

立即访问腾讯云 RAS：https://cloud.tencent.com/product/ras