Amazon AWS云服务认证漏洞可导致恶意spam
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置： &
[ 所属分类
| 时间 2016 |
作者 红领巾 ]
Amazon AWS云服务认证漏洞可导致恶意spam
账户体系控制不严
漏洞已经通知厂商但是厂商忽略漏洞
认证设计不合理,认证缺陷,逻辑错误
Amazon AWS云服务（/cn/） 为每个账号提供12个月免费的Amazon EC2云主机，在申请时Amazon会要求输入付款信息，并从待付款信用卡中扣除1美元预授权；然后输入电话号码，进行身份验证。
在注册账户、绑定付款信息和手机号码过程中有以下三个漏洞：
（1）注册Amazon AWS账号时，Amazon不会对注册邮箱的有效性进行验证，随意输入邮箱和密码即可注册。
（2）填写付款信息时，Amazon AWS只验证了卡号的有效性：如果输入正确的信用卡卡号及用账户名称，Amazon网站会自动从该信用卡中扣除1美元；但当输入一个有效的卡号和错误的账户名称时，则Amazon不对账户扣款，但仍然能够通过验证。
（3）身份验证时，不会对身份验证的手机号码是否已绑定其他账户进行判断，一个手机号码可以重复对多个账户进行验证。
漏洞证明：
用户可以批量注册账号，然后利用信用卡号生成器（如/tool/CreditCard.asp ）来绑定任意有效的卡号，并重复在一个有效的手机号码上进行验证。
1、申请账号：
2、随机生成信用卡卡号：
3、根据随机生成的卡号输入付款信息：
4、身份验证：
5、账号生成成功，查看账号中的付款信息：
修复方案：
1、使用邮箱申请账号时，向邮箱发送验证码，通过点击验证码来激活。
2、输入付费信息时，对卡号和账户名的真实性进行验证。
3、身份验证时，检查输入的手机号码是否已被其他用户绑定。
版权声明：转载请注明来源 whuwy@乌云
本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
应将拖延当作你最可怕的仇敌，因为他要窃去你的时间，品格、能力、机会和自由，而使你成为他的奴隶-马尔顿
手机客户端
，专注代码审计及安全周边编程，转载请注明出处：http://www.codesec.net
转载文章如有侵权，请邮件 admin[at]codesec.net开创云时代的“亚马逊AWS”还能持续领跑多久？
[摘要]贝索斯引用了1997年致股东信中的一句“It's still day one&，亚马逊一直注重长远利益，现在一切才刚刚开始。
CEO贝索斯腾讯科技 徐安娜 4月26日报道本周亚马逊发布2015年第一季度财报，其中净营收和净亏损分别为227亿美元和5700万美元，净营收同比增长了15%。值得关注的是，亚马逊还首次披露了云服务AWS的业绩。2014年，亚马逊第一季度来自AWS的净营收为15.7亿美元，同比增长49%，去年同期为10.5亿美元。如果按目前速度发展，AWS今年年底营收有望突破62.3亿。亚马逊首席财务官汤姆·苏库塔克（Tom Szkutak）在财报电话会议上表示，“AWS目前仍处于初期，还有很多创新潜力没有被挖掘出来，未来将持续加大对AWS的投入。”财报显示，虽然AWS营收只占亚马逊总营收的7%，但其增长强劲且利润丰厚，AWS增长速度远远快于其他业务，比如零售业务，即便是最大市场-北美市场的营收增长也只有22%，那么未来AWS有没有可能超过零售成为公司最大的业务？昨日，亚马逊创始人兼首席执行官杰夫•贝索斯（Jeff Bezos）在致股东公开信中似乎给了答案。他表示，电商、Prime和AWS三大业务是最初不被看好但亚马逊愿意下赌注，进行大胆尝试的例证。我们会完善并培育这三大核心业务，并努力寻找第四项潜在的业务。贝索斯结尾还引用了1997年致股东信中的一句“It's still day one"，亚马逊一直注重长远利益，现在一切才刚刚开始。AWS让企业试验成本降为零云服务将改变整个世界获取计算资源的模式，吞噬老牌IT巨头的业务，如HP，Dell，Oracle等。传统模式是老牌科技巨头销售软硬件产品，企业购买后，需要自建数据中心，等待数周时间然后开始运作，还要靠IT人员进行日常运营。有了AWS类似的云服务之后，企业只需专注于自身的创新，而不必关注和业务创新无关的底层技术，基础设施问题都留给AWS。企业无需再猜测IT系统的容量，只需拿出信用卡，在线注册一个账号在云端开启云服务，即可按实际的使用量支付实际费用，做到“随用随付费”。亚马逊全球市场副总裁艾瑞尔·凯尔曼（Ariel Kelman）此前接受腾讯科技专访时表示，云计算大幅度地加快了运营速度。比如你去一家汽车公司，要构建车载娱乐系统的架构，可能需要完全不同的一套服务器及新软件。如果你构建了一个数据中心，里面都是量身定做的服务器，你必须改变整套框架，可能得花上一两年。但用AWS云服务，可能一顿午餐的时间就解决了。AWS目前提供40多种服务，存储和计算只是其中的两项。凯尔曼表示，以前你有一个新想法，需要新技术，试验成本可能高达数十亿；现在有了云计算之后，试验成本几乎降至零。也就是说，员工有创意，就可以大胆去试验，用不着担心失败。“企业只需几分钟即可在AWS平台上开启上千台服务器，迅速让创意落地，并验证其效果。就像Airbnb改变了酒店行业，Dropbox改变个人存储领域一样。”凯尔曼说道。短租鼻祖Airbnb，云存储服务商Dropbox，流媒体视频服务提供商Netflix都是亚马逊AWS的早期客户，国内的小米网、猎豹移动、木瓜移动、芒果TV、华大基因等也将自己的云计算任务交给了亚马逊AWS。即将继任为亚马逊CFO的Brian Olsavsky在电话会议中谈到，“我们的模式是快速迭代式的创新，为客户节省成本，提升敏捷性和扩展性。”有趣的是，当2006年亚马逊推出Amazon Web Services时，IT行业还没有云计算（或云服务）的名称出现。云服务最早是由亚马逊公司高级副总裁安迪•杰希（Andy Jassy）提出的。2000年初，亚马逊技术工程师面对复杂的网络架构和快速增长的业务需求，经常面临如何确保系统稳定和快速部署的难题。后来一次电话会议中，杰希问道，除了电商之外，亚马逊已积累了管理超大型数据中心和复杂软件系统的丰富经验，而这些经验，对于那些要运营增加的数据中心和软件系统的用户而言很宝贵。为什么要让客户重蹈覆辙呢？基于这个想法，亚马逊内部推动了这个创新项目。西雅图云计算之争：亚马逊VS图为2014年全球云计算市场份额占比美国市场研究机构Synergy Research Group发布报告称，就2014年全球云计算市场来看，亚马逊AWS几乎占了市场份额的三成，稳固地维持了其全球最大公有云服务商的地位。但云市场竞争正日益加剧，微软、()、等跨国巨头都在全速追赶和布局云服务。值得拷问的是，亚马逊AWS领导地位到底能否被撼动？亚马逊如何在云服务领域持续领跑，保持其先发优势，甚至增强其领导地位？亚马逊全球市场副总裁艾瑞尔·凯尔曼此前告诉腾讯科技，云计算市场不是赢家通吃，可以容纳多家云供应商。这是个数万亿美元的市场，据市场研究机构Forrester预计，全球云计算市场到2020年将增长至2410亿美元，远高于2013年的410亿美元。从本周发布的财报来看，云计算业务不仅仅提振了亚马逊的整体业绩，也成为了微软财报的一大亮点。数据显示，微软商务云营收同比增加106%。微软首席执行官萨提亚•纳德拉（Satya Nadella）在电话会议中强调，云服务发展是公司的重中之重。“现在超过500万家机构在使用Azure云服务，线上存储是平台增长的衡量指标，我们现在有50万亿资料存储在Azure云平台上，同比增长了3倍。” 纳德拉说道。自纳德拉出任微软CEO以来，就一直致力于让全球最大软件开发商微软专注于云计算业务和移动软件，期望客户持续选择微软革新他们的业务。Sanford C. Bernstein& Co. 分析师马克·莫德勒分享说，“微软的云计算业务营收正在不断增长，且目前没有停下来的迹象。”美知名研究机构Gartner分析师Lydia Leong表示，微软是强有力的竞争对手，但亚马逊AWS是初创公司最常用的云服务平台。这个观点得到了部分分析师的赞同，他们相信，微软更容易说服那些已使用其软件产品的大企业，购买其云服务。而初创公司规模小，还没有在Windows或微软其他产品上投入过多。在西雅图，亚马逊面临的是微软这样的竞争对手。在其他版图，亚马逊还得与Google等相抗衡。过去一年，谷歌连续下调其云存储服务价格，通过压缩利润的方式，不断向亚马逊施压。谷歌副总裁艾米特·辛（Amit Singhal）此前接受美国知名商业媒体《商业内幕》专访时表示，企业级云计算已成为公司核心业务。谷歌董事长埃里克·施密特（Eric Schmidt）在本周的一场活动中也对云软件开发者说，云计算将成为其中一项会重新定义世界的技术。但本周谷歌财报中并未体现其云计算服务的业绩，现在还很难去断定微软、谷歌的云业务与亚马逊AWS相差有多远，因为亚马逊并没有披露AWS整体的利润，或其他度量标准，现在下结论还为时过早。只是亚马逊需要担忧的是，AWS业务虽然利润很高，但得投入巨额成本，构建新的数据中心，并面临类似微软和谷歌这样的巨头。仅仅靠下调价格来相互抗衡，这种商业模式是不可持续的。亚马逊要继续领跑，就得提供与众不同的新服务，提供其他巨头没有而客户需要的服务。亚马逊AWS在中国落地有多难？本周四，金蝶集团与亚马逊AWS签署全球战略合作协议。金蝶集团创始人表示，基于AWS云服务平台，公司将打造面向世界级的企业ERP云服务平台，为客户提供极致的云服务体验。小米网运维工程师侯文辉在近期AWS活动中分享说，他们海外很多业务都已经运用了亚马逊AWS，因为它是全球最大的云服务商，非常国际化，也有助于节约成本，方便扩容。亚马逊AWS入华已有约一年半的时间，尽管积累了一批品牌用户，如小米网、猎豹移动、芒果TV等，但AWS云计算业务落地真是一帆风顺吗？据中信证券的研究报告显示，AWS迄今还未获得IDC电信增值业务牌照，依然只能提供有限预览账号。为满足中国政府的信息安全监管要求，亚马逊AWS竞争对手微软Azure云平台采用了产品技术交付的模式，它将产品技术交付给世纪互联，由世界互联运营中国第一个国际公有云平台Windows Azure和Office 365。亚马逊会不会采用相同的模式落地还不确定。亚马逊首席财务官汤姆·苏库塔克（Tom Szkutak）在本周财报电话会议中表示，未来会加码新兴市场的布局，中国的云计算业务才刚刚开始。中国市场会不会成为亚马逊AWS全球第二大市场？除了政策因素的影响，亚马逊AWS该如何与国内云服务提供商相抗衡？毫无疑问，亚马逊AWS开创了云时代，随着越来越多的公司意识到云计算带来的优势，如运营速度大幅提升等，国内近几年也陆续涌现出了如阿里云、腾讯云、青云等云服务提供商。虽然初创公司很多只提供虚拟机和云存储，不能与亚马逊AWS提供的40多项服务相媲美，但他们可以定价更低，做到更了解用户的需求。与此同时，也有像阿里云那样的巨头威胁亚马逊AWS云计算市场的领导地位。去年，阿里云在硅谷建立了首个数据中心，短期目标是满足中国客户的需求。阿里云副总裁喻思成表示，今年下半年会加速布局，争取为全球客户提供云服务。亚马逊AWS目前还是全球市场份额最大的云服务商，仍然保持着先发优势，但随着微软、谷歌、IBM、等巨头纷纷将云服务提升至公司战略高度，加速步伐，投入巨资抢占云计算市场份额，试问亚马逊的领导地位还能维持多久？
[责任编辑：jasongwang]
您认为这篇文章与"新一网（08008.HK）"相关度高吗？
Copyright & 1998 - 2016 Tencent. All Rights Reserved
还能输入140字114网址导航}