余波未平,暗潮又起的nsa武器攻击事件给整个IT业都带来了巨大的危机感。

这段时间也看到了各云厂商,绝大多数是提供公有云服务的,从基础设施虚拟化到容器微服务领域都有,纷纷强调了自家的安全能力。

其实,类似本次SAMBA漏洞的这种通用软件级漏洞得益于官方与行业内众多力量的聚集,预先防护与应急响应在云厂商处都尤为迅速。

而各家自己开发的应用/系统,如云管平台、用户接口、SaaS业务、为客户建设的私有云、细分领域内的云服务内容等的安全状况则没那么乐观。讲究敏捷的互联网业务模式,对近年扩张迅速的云计算行业同样提出了快速迭代的要求,业务与市场至上,安全同样不能忽视。以前讲传统安全的时候,说先除开大厂不谈,有的企业没有或有薄弱的安全支撑,稍好一点的请外部安全公司/团队进行安全评估、参与众测,更好一点的从需求开始贯彻SDL、定期攻防演练等等。但对云计算厂商而言,提供的云服务、云资产都是用户的业务命脉,如果不能提供应对各种场景的强大安全能力,考虑到安全木桶的每一个细节,如何能使用户放心地将业务上云呢。

尽管现在云上的安全责任应由云服务提供者与用户共同承担,如这周看到的某公有云厂商给出的用户等保测评指南,将责任划分写得很清楚。笔者也经历过云数据中心级的等保测评,看了这份指南不得不感慨一句真牛,真能为有资质测评需要的用户省不少心。

当然安全测评和实际面临的安全威胁间是有距离的,就不展开了,之后可能会专门写一篇那些和云计算有关的安全资质的文章。

因为私有SRC隐藏了不少信息,笔者只通过互联网可查的公开漏洞信息,对这两年和云有关的漏洞用 selenium  bs4 进行了简单爬取,既有专业的云服务提供者,也有不当/危险的云上业务场景。

重要:以下信息可直接通过补天平台、漏洞盒子和去年7.20前存在的那个它的公共查询功能查到。为了避免影响厂商利益,通过简单的正则做了mask。

2017-06-01 14:25:09██云██ 的一个逻辑漏洞
2017-05-26 15:19:57 上██七██信息技术有限公司 的一个信息泄露漏洞
2017-05-15 17:08:46 达██云██科技(北京)有限公司 的一个SQL注入漏洞
2017-05-11 14:58:32 ██易██云██科技有限公司 的一个XSS漏洞
2017-05-11 14:58:12 金颖??云██家 的一个权限绕过漏洞
2017-05-03 15:04:03 移██云██站 的一个SQL注入漏洞
2017-04-24 10:08:03 上海外██云██金融服务有限公司 的一个命令执行漏洞
2017-04-05 19:16:17 科██软件 的一个SQL注入漏洞
2017-03-24 14:52:35 贵州电子商██云██? 个信息泄露漏洞
2017-03-21 15:58:57 ██智慧教██云██台 的一个命令执行漏洞
2017-03-08 11:57:13 ███信e██云██? 个命令执行漏洞
2017-03-08 11:25:07 中国教██云██? 个命令执行漏洞
2017-03-08 04:12:21 http://www.eqi██.cn 的一个命令执行漏洞
2017-03-08 04:03:40 盈科██云██技 的一个命令执行漏洞
2017-03-08 03:43:53 ██云██技 的一个命令执行漏洞
2017-03-08 01:47:07 优██云██合教育公共服务平台 的一个命令执行漏洞
2017-03-08 00:25:32 森██云██? 个命令执行漏洞
2017-03-07 23:42:24 ██综合教██云██台 的一个命令执行漏洞
2017-03-02 15:21:27 乐████TV 的一个权限绕过漏洞
2017-02-17 11:00:02 健██云██务平台 的一个文件上传漏洞
2017-02-16 11:30:02 广██省██大██云██分厅 的一个代码执行漏洞
2017-02-14 14:00:02██云██叫中心 的一个弱口令漏洞
2017-02-14 14:00:02██云██柜客房全网销售系统 的一个弱口令漏洞
2017-01-18 16:30:02 合肥教██云██台 的一个任意文件操作漏洞
2017-01-18 15:00:02 安宁市██医██ 的一个弱口令漏洞
2017-01-10 14:30:02 流██口信息服务平台 的一个弱口令漏洞
2016-12-27 14:00:02 ██云██? 个入侵事件漏洞
2016-12-16 11:00:02 吉██省██市纪██ 的一个命令执行漏洞
2016-12-08 18:00:08██云██端官网 的一个命令执行漏洞
2016-12-02 11:00:02 机██云██ y硬件自助开发██云██务平台 的一个弱口令漏洞
2016-11-29 12:00:02 ██市体████ 的一个信息泄露漏洞
2016-11-24 16:30:01 苏████云██络科技有限公司 的一个SQL注入漏洞
2016-11-19 11:30:17 宏████ 的一个弱口令漏洞
2016-11-15 17:00:02██云██财经 的一个入侵事件漏洞
2016-11-10 11:00:01 ██云██ 的一个存在后门漏洞
2016-11-04 16:00:03██云██网 的一个命令执行漏洞
2016-10-25 16:30:02 中国电████公司 的一个弱口令漏洞
2016-10-13 12:00:02 ██市████行业协会 的一个SQL注入漏洞
2016-10-11 16:44:02 唯██云██控 的一个命令执行漏洞
2016-10-09 13:00:01██云██OA系统存 的一个XSS漏洞
2016-10-08 14:00:01 中██云██联 的一个SQL注入漏洞
2016-10-03 16:00:02██云██关-一键式智能通关服务平台 的一个SQL注入漏洞
2016-09-08 16:00:01 北██云██旗信息技术有限公司 的一个SQL注入漏洞
2016-09-05 10:00:01 优██云██合教育公共服务平台 的一个SQL注入漏洞
2016-09-04 16:00:02 天██云██? 个XSS漏洞
2016-09-02 15:00:01 微████ 的一个弱口令漏洞
2016-09-02 14:30:01 ████科技有限公司 的一个信息泄露漏洞
2016-09-02 14:30:01 中国电████ 的一个信息泄露漏洞
2016-09-02 11:00:02 cnni██ 的一个SQL注入漏洞
2016-09-01 10:30:01██云██ 的一个信息泄露漏洞
2016-08-30 14:30:02 ██云██用网 的一个命令执行漏洞
2016-08-26 12:00:02 青██云██互动网络有限公司 的一个SQL注入漏洞
2016-08-19 16:43:43 中国科██数██云██? 个SQL注入漏洞
2016-08-12 16:50:02 天██云██ 的一个逻辑漏洞
2016-08-11 11:00:02 www.yn████.org 的一个文件上传漏洞
2016-07-28 17:50:01 http://yn.wen████.com 的一个信息泄露漏洞
2016-07-28 13:50:01 乔████ 的一个弱口令漏洞
2016-07-26 11:50:02 七██云██? 个弱口令漏洞
2016-07-26 10:50:02██云██车中心 的一个SQL注入漏洞
2016-07-25 15:50:02 ██云██ 的一个SQL注入漏洞
2016-07-24 12:50:01 链██云██ 的一个弱口令漏洞
2016-07-22 00:50:01 ██天██████科技股份有限公司 的一个信息泄露漏洞
2016-07-20 19:50:01██云██平台 的一个SQL注入漏洞
2016-07-19 16:50:01 北██信██云██机 的一个信息泄露漏洞
2016-07-19 12:50:02██云██ 的一个逻辑漏洞
2016-07-14 14:50:02 ██████网络科技股份有限公司 的一个SQL注入漏洞
2016-07-13 15:50:02 周██云██? 个弱口令漏洞
2016-07-13 10:50:02 ██外服██云██ 的一个命令执行漏洞
2016-07-13 10:50:02 ██健██云██据中心 的一个SQL注入漏洞
2016-07-12 11:50:02 周██云██? 个弱口令漏洞
2016-07-11 16:00:02██云██微动科技有限公司 的一个XSS漏洞
2016-07-11 12:50:01 徐██云██院 的一个命令执行漏洞
2016-07-08 16:50:02 阿██云██? 个逻辑漏洞
2016-07-01 16:50:02 小██云██台 的一个命令执行漏洞
2016-06-29 16:50:01 前██云██作平台 的一个弱口令漏洞
2016-06-29 14:50:02██云██支付 的一个命令执行漏洞
2016-06-29 10:00:02 智能家██云██台 的一个命令执行漏洞
2016-06-28 18:50:02 ██市██云██息技术有限公司 的一个信息泄露漏洞
2016-06-28 16:50:02 ██教育资██云██台 的一个SQL注入漏洞
2016-06-27 12:00:01 Tes██云██ 的一个命令执行漏洞
2016-06-21 14:00:01 南██云██通讯科技有限公司 的一个信息泄露漏洞
2016-06-20 10:00:03 ██时████网络通信有限公司 的一个信息泄露漏洞
2016-06-18 15:50:02 中██云██APP 的一个SQL注入漏洞
2016-06-15 09:50:02 1████ 的一个SQL注入漏洞
2016-06-13 12:00:02██云██通 的一个弱口令漏洞
2016-06-10 10:50:02 健██云██务平台 的一个命令执行漏洞
2016-06-08 15:50:01 ██云██? 个SQL注入漏洞
2016-06-07 12:50:01 重██云██医疗科技有限公司 的一个信息泄露漏洞
2016-06-07 11:00:02 傲██云██览器 的一个信息泄露漏洞
2016-06-06 18:50:02 深圳██云██网络技术有限公司 的一个逻辑漏洞
2016-06-06 15:50:01 ██云██算机科技 的一个解析漏洞漏洞
2016-06-01 14:50:02 广████云██息科技 的一个入侵事件漏洞
2016-05-28 11:50:02 世██联 的一个代码执行漏洞
2016-05-27 12:00:01 架██云██? 个弱口令漏洞
2016-05-27 11:50:02 阿██云██? 个信息泄露漏洞
2016-05-26 15:50:02 青██云██ 的一个SQL注入漏洞
2016-05-17 11:50:02 娄底教██云██台 的一个入侵事件漏洞
2016-05-12 23:50:02 长██云██电子商务有限公司 的一个信息泄露漏洞
2016-05-08 13:50:02 ████股份有限公司 的一个信息泄露漏洞
2016-05-06 16:50:02 其██ 的一个入侵事件漏洞
2016-05-06 11:50:01 ██ 的一个信息泄露漏洞
2016-05-05 12:00:01 ██云██技 的一个命令执行漏洞
2016-04-30 10:50:01 72██ 的一个SQL注入漏洞
2016-04-29 12:50:02 睿██云██? 个弱口令漏洞
2016-04-27 14:42:48 72██ 的一个SQL注入漏洞
2016-04-26 17:50:01 学██云██? 个信息泄露漏洞
2016-04-22 17:00:01 ██云██? 个命令执行漏洞
2016-04-20 18:50:01 ██云██? 个XSS漏洞
2016-04-13 10:50:02 济源市教██云██台 的一个信息泄露漏洞
2016-04-08 23:50:02 中国████科学数据中心 的一个弱口令漏洞
2016-04-05 15:50:02 上██云██互联网金融信息服务有限公司 的一个信息泄露漏洞
2016-03-27 15:50:02██云██网络科技有限公司 的一个SQL注入漏洞
2016-03-17 15:50:01 滨██"安██云██|o平台 的一个入侵事件漏洞
2016-03-17 15:37:02 上██云██科技 的一个弱口令漏洞
2016-03-17 15:36:48 东██通 的一个弱口令漏洞
2016-03-10 10:50:01 CloudNM████科技 的一个弱口令漏洞
2016-02-28 13:50:01 彩██云██? 个弱口令漏洞
2016-02-23 18:50:01 湘██云██航及推送平台 的一个弱口令漏洞
2016-02-11 13:50:01 奥██云██? 个信息泄露漏洞
2016-02-01 15:50:01██云██电子政务一体化网站 的一个命令执行漏洞
2016-01-26 18:50:01 惠██云██? 个逻辑漏洞
2016-01-26 14:00:01 ██云██? 个SQL注入漏洞
2016-01-24 13:50:01 ██████盾科技有限公司 的一个文件包含漏洞
2016-01-22 16:41:45 ████讯软件有限公司 的一个弱口令漏洞
2016-01-19 17:55:44 腾████ 的一个权限绕过漏洞
2016-01-13 19:50:01██云██配 的一个弱口令漏洞
2016-01-13 19:03:03██云██算发展与政策论坛 的一个代码执行漏洞
2016-01-08 16:50:01 ██云██ 的一个信息泄露漏洞
2016-01-04 13:50:01 ██市前██云██互联网金融服务有限公司 的一个SQL注入漏洞
2016-01-02 17:00:02██云██堂 的一个XSS漏洞

2017-04-19 22:54 中██云██
2017-04-19 22:14 中██云██??█云██意手机注册用户密码重置
2017-04-16 15:05 中██腾██云██Χǒ腾██云██站存在命令执行漏洞
2017-04-15 11:22 CNCERT国家互联网应急中心 
2017-04-13 22:39 CNCERT国家互联网应急中心 
2017-04-05 10:43 CNCERT国家互联网应急中心 
2017-03-30 00:15██云██微██ 
2017-04-02 22:20 CNCERT国家互联网应急中心 
2017-04-02 21:28 CNCERT国家互联网应急中心 
2017-04-01 13:32 CNCERT国家互联网应急中心 
2017-04-01 13:27 CNCERT国家互联网应急中心 
2017-03-29 23:34 CNCERT国家互联网应急中心 
2017-03-29 20:31 CNCERT国家互联网应急中心 
2017-03-29 11:28 CNCERT国家互联网应急中心 
2017-03-28 23:38 CNCERT国家互联网应急中心 
2017-04-19 22:54 中██云██
2017-04-19 22:14 中██云██??█云██意手机注册用户密码重置
2017-04-16 15:05 中科腾██云██Χǒ腾██云██站存在命令执行漏洞
2017-04-15 11:22 CNCERT国家互联网应急中心 
2017-04-13 22:39 CNCERT国家互联网应急中心 
2017-04-05 10:43 CNCERT国家互联网应急中心 
2017-03-30 00:15██云██微店 
2017-04-02 22:20 CNCERT国家互联网应急中心 
2017-04-02 21:28 CNCERT国家互联网应急中心 
2017-04-01 13:32 CNCERT国家互联网应急中心 
2017-04-01 13:27 CNCERT国家互联网应急中心 
2017-03-29 23:34 CNCERT国家互联网应急中心 
2017-03-29 20:31 CNCERT国家互联网应急中心 
2017-03-29 11:28 CNCERT国家互联网应急中心 
2017-03-28 23:38 CNCERT国家互联网应急中心 
2017-03-22 10:35 广██云██信息技术有限公司 
2017-03-23 09:27 CNCERT国家互联网应急中心 
2017-03-21 15:12██云████云██st2-046
2017-03-19 13:34 北██云██学科技有限公梖??云██学官方平台struts2漏洞直接root权限
2017-03-18 23:07 CNCERT国家互联网应急中心 
2017-03-16 18:46 Eye智██云██e智██云██频监控系统命令执行
2017-03-15 21:15 CNCERT国家互联网应急中心 
2017-03-15 15:47 轻██云██??█云██uts远程执行漏洞信息泄露
2017-03-15 00:49 CNCERT国家互联网应急中心 
2017-03-11 15:56██云██传梖??云██传媒存在st2-045漏洞
2017-03-10 15:14 CNCERT国家互联网应急中心 
2017-03-09 22:29 CNCERT国家互联网应急中心 
2017-03-09 17:12 CNCERT国家互联网应急中心 
2017-03-09 17:03 CNCERT国家互联网应急中心 
2017-03-14 20:16 CNCERT国家互联网应急中心 
2017-03-09 01:41 CNCERT国家互联网应急中心 
2017-03-09 00:15 CNCERT国家互联网应急中心 
2017-03-11 17:14 CNCERT国家互联网应急中心 
2017-03-08 12:51 CNCERT国家互联网应急中心 
2017-03-08 10:16 广██云██信息技术有限公司 
2017-03-08 08:32 CNCERT国家互联网应急中心 
2017-03-08 00:44 CNCERT国家互联网应急中心 
2017-03-07 20:57 CNCERT国家互联网应急中心 
2017-03-07 16:51 CNCERT国家互联网应急中心 
2017-03-07 15:41 广██云██信息技术有限公司 
2017-03-09 23:19 CNCERT国家互联网应急中心 
2017-03-07 19:45 广██云██信息技术有限公司 
2017-03-10 09:49 CNCERT国家互联网应急中心 
2017-03-08 15:15 CNCERT国家互联网应急中心 
2017-03-07 18:37 ██云通信 ██邮箱struts2-045命令执行
2017-03-09 11:37 校██云██¢?█云██系统struts2 s-045命令执行漏洞
2017-03-08 23:53 CNCERT国家互联网应急中心 
2017-03-08 00:43 北京盈科██云██技有限公司 ██云██台命令执行
2017-03-09 15:45 CNCERT国家互联网应急中心 
2017-03-07 20:13 CNCERT国家互联网应急中心 
2017-03-05 10:35 南京雨██云██央电子商务有限公司 南京雨██云██央电子商务有限公司 某站存在sql注入 泄露用户42w条
2017-03-01 14:55 广██云██信息技术有限公司 
2017-02-28 19:04 CNCERT国家互联网应急中心 
2017-02-24 13:00 CNNVD中国国家信息安全漏洞库 
2017-02-23 23:28██云██ 
2017-02-22 20:31 CNCERT国家互联网应急中心 
2017-02-21 14:04██云██ 
2017-02-16 22:38 杭██云██网络科技有限公司 手游“咚嗒嗒”代码漏洞 可以达到PVP必胜等效果
2017-01-16 22:44 SH██ 
2017-01-09 18:37 北京新奥██云██科技有限公司 新奥██云██科技www站存在sql注入(root权限)
2017-01-11 22:10 CNCERT国家互联网应急中心 
2017-01-07 20:26 中国领先的SaaS级智能营██云██台 中国领先的SaaS级智能营██云██台 某站svn配置不当源码泄露
2016-12-28 22:13 CNNVD中国国家信息安全漏洞库 
2016-12-21 10:28 深圳██云██物流有限公司 
2016-12-19 21:40 金██软件 
2016-12-20 13:18 CNCERT国家互联网应急中心 
2016-12-11 11:30 CNCERT国家互联网应急中心 
2016-12-09 09:57 CNCERT国家互联网应急中心 
2016-12-09 15:24██云██ 
2016-12-12 11:25 CNCERT国家互联网应急中心 
2016-12-08 21:30██云██在线学习平台

http://www.cnblogs.com/opsec/p/6950445.html

延伸阅读

云村系统个人感想-Java培训,做最负责任的教育,学习改变命运,软件学习,再就业,大学生如何就业,帮大学生找到好工作,lphotoshop培训,电脑培训,电脑维修培训,移动软件开发培训,网站设计培训,网站建设培训云村系统个人感想