原创力文档流量拦截或劫持 对客户或云进行流量拦截和/或改道发送 偷取凭证以窃取或控制账户信息/服务 说明 数据保密性和完整性 声誉影响 资源恶意使用造成的后果(法律) 影响 推特DNS账户盗用 Zeus botnet CC在Amazon EC2上的账户被盗用 举例 共享技术潜在风险 公共的硬件、运行系统、中间件、应用栈和网络组件可能有着潜在风险 说明 成功使用可能影响多个用户 影响 Cloudburst - Kostya Kortchinksy (Blackhat 2009) 在虚拟PCI显示卡Vmware SVGA II设备中确认的任意代码执行的潜在风险 VMware Workstation、VMware Player、VMware Server和VMware ESX中的脆弱部件 举例 不安全的API API用于允许功能和数据访问,但其可能存在潜在风险或不当使用,让程序受到攻击 说明 数据保密性和完整性 拒绝服务 影响 P0wning可编程网络 (Websense – AusCERT 2009_ 80%的测试应用程序没有使用API中的安全保护(例如不加密流量和基本验证) 经验证的CSRF、MITM和数据泄漏攻击 举例 未知风险预测 对安全控制的不确定性可能让顾客陷入不必要的风险。 说明 可能因为云用户没有相关知识,造成重大的数据外泄。 影响 Heartland支付系统“只愿意做最小的工作量
文档评论(0)