黑客撕裂SSL加密 SaaS安全不容乐观

显示全部楼层 · 2010-3-1 11:08:29

清华同方IT体检中心负责人孙睿指出，09年国际知名黑客组织公布的一项安全漏洞彻底撕裂了SaaS及网站的最后一层安全底线登录账户及密码的SSL认证破解。SaaS及网站又将面临最严峻的安全挑战。
　　看一下SaaS及网站的安全事故
　　对于SaaS及网站的安全来说本来就环节诸多，基于云端有大量的IT基础设施的硬件水平和软件水平要求。有些SaaS应用使用虚拟主机，在共享的虚拟主机平台中，黑客通过一部份不安全的网站代码入侵，进入共享式的数据库，盗取所有虚拟用户的账户密码。
　　案例
　　09年8月某家国内知名域名及虚拟主机运营商系统，被黑客通过对系统的提权，破解FTP的数据库登录密码，造成大量虚拟主机的网站被挂载黑客木马。09年初，某Office产品的SaaS提供商局域网因没有进行安全配置，被ARP攻击造成大量服务器断网。09年初美国卡巴斯基网站被黑客通过SQL注入的方法，泄漏了数据库的管理员登录权限，大量的数据库表名给社会公众，数据库信息更是难逃厄运，09年2月Symantec网站被暴有SQL注入的漏洞，Symantec将网站暂停。某中文卡巴斯基网站，服务器直接暴露在公网，未有任何硬件防火墙设备，下一个微软的漏洞会不会造成损失呢？
　　SaaS和网站领域安全参差不齐，有的是技术达不到水平，有的是因为管理制度和管理人员的愚昧和固执未能实施。这些SaaS和网站企业如果不经过IT的安全体检，如何能让用户相信其提供的服务？每一个注册用户的信息安全如何保障？
　　黑客撕裂SSL加密
　　在这样恶劣的竞争环境下，基于中间人攻击技术的SSL漏洞利用更是给SaaS和网站厂商带来了噩耗。黑客通过劫持局域网、网关或中间链路的数据流，分离出登录信息和密码其中包括SSL认证，并且不需要耗费具大的时间成本。
　　经过清华同方IT体检中心负责人孙睿的演示，在某IM、邮箱、银行的网页分别注册登录账号及密码，并通过局域网中间人攻击登录系统的主机，很轻松的得到了该主机访问这些SaaS和网站时使用的账户及密码。
　　在这里清华同方IT体检中心负责人孙睿指出，SaaS和网站企业对于自己的IT基础建设一定要参加IT体检，以确保能防范黑客多样化的攻击手段，不要轻视任何一个安全环节的细小问题，IT基础建设没有一件小事不重要。并且建议SaaS和网站企业在IT基础建设的实施中，充分咨询清华同方IT体检中心，避免重复建设和使用不恰当的解决方案，造成无谓的损失。

千问 · 2010-3-1 11:08:29

这个漏洞不是协议漏洞，而是浏览器实现时的bug造成的。这也就是为什么要及时安装系统补丁的原因

千问 · 2010-3-1 11:08:29

关注

千问 · 2010-3-1 11:08:29

关注ing

千问 · 2010-3-1 11:08:29

在这样恶劣的竞争环境下，基于中间人攻击技术的SSL漏洞利用更是给SaaS和网站厂商带来了噩耗。

千问 · 2010-3-1 11:08:29

关注一下

千问 · 2010-3-1 11:08:29

ssl也不安全，

千问 · 2010-3-1 11:08:29

清华同方自己都还没有搞清楚就调出来想赚钱了

千问 · 2010-3-1 11:08:29

SSL现在还能破解？

千问 · 2010-3-1 11:08:29

guanzhuing