清华同方IT体检中心负责人孙睿指出,09年国际知名黑客组织公布的一项安全漏洞彻底撕裂了SAAS及网站的最后一层安全底线登录账户及密码的SSL认证破解。SAAS及网站又将面临最严峻的安全挑战。
看一下SAAS及网站的安全事故
对于SAAS及网站的安全来说本来就环节诸多,基于云端有大量的IT基础设施的硬件水平和软件水平要求。有些SAAS应用使用虚拟主机,在共享的虚拟主机平台中,黑客通过一部份不安全的网站代码入侵,进入共享式的数据库,盗取所有虚拟用户的账户密码。
案例
09年8月某家国内知名域名及虚拟主机运营商系统,被黑客通过对系统的提权,破解FTP的数据库登录密码,造成大量虚拟主机的网站被挂载黑客木马。09年初,某Office产品的SAAS提供商局域网因没有进行安全配置,被ARP攻击造成大量服务器断网。09年初美国卡巴斯基网站被黑客通过SQL注入的方法,泄漏了数据库的管理员登录权限,大量的数据库表名给社会公众,数据库信息更是难逃厄运,09年2月Symantec网站被暴有SQL注入的漏洞,Symantec将网站暂停。某中文卡巴斯基网站,服务器直接暴露在公网,未有任何硬件防火墙设备,下一个微软的漏洞会不会造成损失呢?
SAAS和网站领域安全参差不齐,有的是技术达不到水平,有的是因为管理制度和管理人员的愚昧和固执未能实施。这些SAAS和网站企业如果不经过IT的安全体检,如何能让用户相信其提供的服务?每一个注册用户的信息安全如何保障?
黑客撕裂SSL加密
在这样恶劣的竞争环境下,基于中间人攻击技术的SSL漏洞利用更是给SAAS和网站厂商带来了噩耗。黑客通过劫持局域网、网关或中间链路的数据流,分离出登录信息和密码其中包括SSL认证,并且不需要耗费具大的时间成本。
经过清华同方IT体检中心负责人孙睿的演示,在某IM、邮箱、银行的网页分别注册登录账号及密码,并通过局域网中间人攻击登录系统的主机,很轻松的得到了该主机访问这些SAAS和网站时使用的账户及密码。
在这里清华同方IT体检中心负责人孙睿指出,SAAS和网站企业对于自己的IT基础建设一定要参加IT体检,以确保能防范黑客多样化的攻击手段,不要轻视任何一个安全环节的细小问题,IT基础建设没有一件小事不重要。并且建议SAAS和网站企业在IT基础建设的实施中,充分咨询清华同方IT体检中心,避免重复建设和使用不恰当的解决方案,造成无谓的损失。
网友评论