本文讲的是多站点漏洞暴露云计算安全致命弱点,【IT168 资讯】在云计算成为人们热议的技术趋势的同时,其更多的安全黑洞也逐渐被曝光,这次曝光者是网络安全专家Russ McRee,他演示了某云计算服务提供商的一个安全缺陷是如何让其众多客户处于风险之中的。
这次被曝光的厂商是软件即服务(SaaS)提供商Baynote,该厂商针对技术、电子商务和其它类型的网站提供搜索和其它网络服务。McRee发现在Baynote的社会搜索功能中存在一个XSS(跨站脚本)错误,利用该缺陷可以实现对大量使用该功能的客户的攻击。
(小贴士:什么是XSS攻击?XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。)
该漏洞可以被黑客轻松利用,根据McRee公布的视频(http://www.holisticinfosec.org/video/baynote/baynote.html)显示,加利福尼亚州米尔皮塔斯的主机总线适配器厂商LSI Corporation和数据管理厂商NetApp是两家受该漏洞影响的Baynote客户。
McRee强调称,Baynote迅速回应并修复了该问题。但是他的发现指出了云计算的潜在致命弱点:一个厂商存在的单点故障可以影响其众多客户的安全。
他表示,“即使SaaS厂商仅有一个漏洞,可能是一个Web应用缺陷,也可能是网络安全中的一个疏忽,或物理安全的一个失误,它的客户全部会遭受安全风险。企业安全性强度取决于其最薄弱环节,如果让其它人来为你管理这个环节,在将你的企业与其联姻前必须考虑到安全问题。”
在此之前,安全专家已经多次警告企业“不要将所有鸡蛋放在一个篮子中。”今年1月份,Salesforce.com的宕机曾致使其90多万客户无法访问自己的关键数据,也证明了依赖一个提供商的安全风险。
当然,这类安全问题并非只有云计算才会碰到,但是企业不能将SaaS看作万能的,必须对提供商的安全性进行适当关注,正如McRee所提到的,软件即服务厂商至少应该提供比传统产品厂商更高的安全防护标准。