首页 > 动态 > 关键词 > 阿里巴巴最新资讯 > 正文

阿里云计算研究员吴翰清 阿里云安全

2010-12-04 15:07 · 稿源:站长之家Chinaz.com

 

阿里云计算研究员吴翰清发表演讲

站长之家Chinaz.com 12月4日消息,以“创新、融合、发展”为主题的第二届中国地方与行业网站峰会将于2010年12月4-5日在杭州海外海国际会展中心举行,3000多名来自互联网各界的从业人士、站长、媒体与嘉宾参加了本次盛会,站长之家作为大会合作媒体参与了全程报道。

以下为引用内容:

各位站长、各位来宾大家下午好,今天我演讲的题目是“麻烦的终结者”,我觉得安全问题对于中小站长来说并不是业务发展上的重大阻力,并不是迈不过去的难关,安全问题更多的像是一种麻烦,非常讨厌,但是你又不得不去解决它,就像你的牙疼,你吃不下饭,睡也睡不香,所以这是非常令人头疼的,所以是一个麻烦的终结者。

我这个人特别怕麻烦,但是每当出现的时候,就意味着有麻烦出现了,所以我就会尽我的全力,把这些麻烦在尽量短的时间内解决掉。

首先自我介绍,我叫吴翰清,来自阿里巴巴集团信息安全中心,我是西安交通大学少年班毕业,2000年开始进行网络安全研究,有十年工作经验。

在05年加入阿里巴巴,先后负责阿里巴巴、支付宝、淘宝的安全评估工作,包括帮他们建立应用安全的体系化,现在我主要在阿里云负责云计算安全以及全集团应用安全和反钓鱼、反欺诈工作。

今天网站面临很多威胁,有各种各样威胁,有人在网站说发反动信息,美女的U盘丢了,隐私可能受到威胁,今天中小网站面临这些威胁也是我们曾经遇到过的。

淘宝、阿里巴巴、支付宝、阿里云、雅虎中国,这些网站也是从小网站成长起来的,我们曾经遇到过的问题,也是中小网站明天遇到的问题,因为明天中小网站也必然成为大网站,当有一天我们的站长们打开他的网页,发现他的站已经打不开了,这个原因可能非常多,可能是硬件坏了、磁盘坏了,也有可能IDC机房网络断了,也有可能被拒绝服务攻击了,这完全有可能发生的。

这是我们昨晚刚录的一段视频,这是我们自己的一个本地网站,我们使用一个应用层工具,发现两三秒钟之后,发现这个网站打不开了,把这个工具停掉,网站立马恢复正常,这是完全可能发生的,这个漏洞就是上个月,11月一个安全的权威大会上有向个国外的安全研究者所演示的web server层的漏洞,这和传统攻击不一样,它工作在应用层,传统保护方案可能失效。

它的攻击条件非常简单,刚才用一台PC把网站打爆掉,我们事后曾经利用这个漏洞测试过一些朋友网站,发现威力非常强大,包括我们自己内网的办公系统,也是刚刚一把工具打开,网站马上宕机掉。这种威胁中小企业都面临着,我在03年也做过一个网站,做得非常大,我不知道什么原因,不知道谁在拒绝服务攻击我,我的网站持续打不开,之后这个网站再也没有打开过了,我心灰意冷,就没有想再开起来了。

在02、03年的时候,我们没有技术条件解决这种问题,但是在今天,我们完全有可能解决,在安全性上叫可用性的问题,包括业务连续性,我们要让网站一直活着,不能让它打不买。我们如何解决拒绝服务攻击,在我的前面陈波介绍他在弹性云计算里面有很多方案,包括安全域,包括分布式防火墙,包括弹性云的环境当中有很多网络设备来保护网络层抗拒绝服务攻击,拒绝服务攻击分两种,第一种是前面陈波提到的,在网络层,传统的SNP flan攻击,我们通过弹性云很多方案已经保护的很好。

另外一种是在WEB Server层,在应用层,可能存在拒绝服务攻击,这是今天整个互联网都很缺乏手段的方式,但是我们部门已经把它解决掉了。我们在Web server层定制一些模块,对Web server进行保护,有一些攻击我们会保护的,我们分析网络连接、频率个地域、客户端连接信息,最终进行判断。

你担心漏洞吗,其实漏洞跟风险有一定距离,漏洞先要有人使用,然后再成为一个风险,什么人会去使用漏洞,这其实是一个很大的链条,漏洞会给我们带来什么,我们可以看一下,这是本地的测试网站,我们演示一次入侵过程,这是一个SQL出入的漏洞,像这种黑客工具,在网站可以随便下载到,而且有很多不同版本。

我们的攻击者尝试了一下网站后台,路径是Admin,发现路径是正确的,入侵过程当中,很多是靠猜,我跟很多资深黑客都聊过,他们有大概30%是靠运气才能够拿到一个系统权限,通过注入这个漏洞,找到了系统管理员这张表,然后找到用户名,现在正在破解密码,这时候攻击者把16位的MD5值放在表上查,马上找到了对应的密码,然后登录进网站后台,但是现在还没有完,在后台还有一个能够上传图片的功能,这里又有一个漏洞,这里没有对图片类型做验证,所以攻击者直接上传,现在他已经拿到了一个后门,可以为所欲为。

可以浏览C盘目录,包括下载文件,攻击者上传一个页面,证明他入侵过,这就是一个漏洞引发的血案。

我们不得不担心漏洞,因为漏洞最终会形成很严重的风险,代码是人写的,程序员是人,不是神,只要人写的代码,必然产生漏洞,漏洞不能别消灭,但是可以被控制。

这是我从国内现在比较著名的一个网站,叫“乌云”,这是一帮安全研究者弄出来的网站,会收集各个站点的漏洞,会通报给厂商。在这个列表上,这是我昨天刚抓到的,列举八月份到十二三号的很多大网站漏洞,很多大网站榜上有名,有网易、有QQ、有凤凰网,还有百度、新浪,都榜上有名,所以说大网站也会出现漏洞,小网站当然也会。

  • 相关推荐
  • 大家在看
  • 马云不再担任阿里巴巴集团董事 依然是阿里巴巴合伙人之一

    【马云不再担任阿里巴巴集团董事】 9 月 30 日晚间消息,阿里巴巴(NYSE:BABA,09988.HK)在港交所发布的公告显示,按照两年前的一系列传承安排,马云自即日起不再担任阿里巴巴集团董事。公告显示,阿里巴巴于 2020 年 9 月 30 日举行的年度股东大会上,选举了武卫、Kabir Misra及郭德明各自担任公司第三组董事,上述人士均将任职三年或任职至其继任人获推选或委任并获得适当资格为止。

  • 马云卸任阿里巴巴集团董事

    【TechWeb】10月1日消息,阿里巴巴在港交所发布的公告显示,按照两年前的一系列传承安排,马云自即日起不再担任阿里巴巴集团董事。截至公告发布日,阿里巴巴的董事会包括董事张勇(董事会主席)、蔡崇信、武卫、J. Michael EVANS、井贤栋及Kabir Misra;以及独立董事董建华、郭德明、杨致远、E.BrjeEKHOLM及WanLingMARTELLO。公告显示,阿里巴巴于2020年9月30日举行的年度股东大会上,选举了武卫、Kabir Misra及郭德明各自担任公?

  • 马云不再担任阿里巴巴董事 阿里全面完成交接棒

    30日晚,阿里巴巴集团年度股东大会公告显示,马云自即日起不再担任阿里巴巴集团董事。最新的阿里巴巴董事会包括董事张勇(董事会主席)、蔡崇信、武卫、J. Michael EVANS、井贤栋及Kabir MISRA;以及独立董事董建华、郭德明、杨致远、E. B?rje EKHOLM及Wan Ling MARTELLO。马云退出阿里巴巴董事会,意味着阿里巴巴已全面完成交接棒。在张勇执掌阿里巴巴的一年中,阿里巴巴市值从4500亿美元上涨到7

  • 阿里巴巴CEO张勇:为今天工作、为明天投资 为后天而孵化

    9月30日消息,阿里巴巴集团董事会主席兼首席执行官张勇在阿里巴巴2020年度全球投资者大会上表示,创新是阿里巴巴20余年来不断发展最重要的动力。在疫情带来的诸多不确定性中,数字化是最确定性的历史机遇,将对社会进程产生巨大影响,持续创新的能力是我们抓住数字化这一关键历史机遇的宝藏。据悉,在此次投资者大会期间,阿里巴巴披露多项重磅业务进展:截至2020年6月底,阿里巴巴集团和蚂蚁集团年度中国用户合计达10

  • 阿里巴巴公布「云钉一体」战略,阿里云与钉钉全面融合

    阿里巴巴公布新一轮战略部署,将钉钉升级为大钉钉事业部,与阿里云全面融合,并整合集团所有相关力量,确保“云钉一体”战略全面落地。即日起,原钉钉事业部、阿里云视频云团队、阿里云Teambition团队、企业智能事业部宜搭团队、政企云事业部、数字政务中台事业部、乌鸫科技部分团队,加入新的大钉钉事业部,全面融入阿里云智能。在大钉钉事业部内,新成立“智能协同与视频云事业部“、“行业钉事业部“和“政务中台事业部”。

  • 传承计划执行完毕!马云即日起不再担任阿里巴巴董事

    9 月 30 日,阿里巴巴集团年度股东大会公告显示,按照两年前的一系列传承安排,马云自即日起不再担任阿里巴巴集团董事。据了解,在 2018 年 9 月,马云发出全员信宣布,在 2019 年阿里 20 周年之际将不再担任阿里巴巴集团董事局主席,由张勇接任。同时为组织的顺利过渡,在此后将继续担任董事会成员,直至 2020 年阿里巴巴年度股东大会。

  • 云安全日报200929:云计算热门语言Python发现注入漏洞,需要尽快升级

    Python是一种跨平台的计算机程序设计语言。它结合了解释性、编译性、互动性和面向对象的诸多特性,最初设计用于编写自动化脚本,然而随着版本的不断更新和语言新功能的添加,越多被用于独立的、大型项目的开发。近些年,Python尤其在云计算,人工智能(AI)领域,应用十分广泛。不过最近Python爆出了比较严重的注入漏洞,需要尽快升级。以下是漏洞详情:漏洞详情CVE ID: CVE-2020-26116 CVSS评分: 5.0 中Python http.client(Pytho

  • 阿里巴巴CFO武卫预计2021财年内阿里云实现盈利

    9月30日消息,据国外媒体报道,阿里巴巴首席财务官武卫周三在投资者日活动中表示,预计阿里云在2021财年内扭亏为盈。阿里巴巴在2021财年第一季度(截至2020年6月30日),阿里云计算业务季度收入同比增长59%至123.45亿元,主要由于公有云及混合云收入均实现增长,并反映来自每位客户的平均收入增长。阿里巴巴曾表示,未来3年再投2000亿元,用于云操作系统、服务器、芯片、网络等重大核心技术研发和数据中心建设。武卫补

  • 腾讯联合阿里巴巴、华为等成立“软件测试能力认证联盟”

    DoNews10月13日消息(记者 翟继茹)13日,腾讯联合阿里巴巴、华为、软通动力、北京大学、南京大学和同济大学共七家单位,共同发起成立“软件测试能力认证联盟”(The Certification Board of Software Testing Competency,CBSTC)。据了解,国内成立的首个专注于软件测试能力认证的联盟机构。该联盟将致力于把行业顶尖测试能力应用到整个软件研发工程过程中,更好地保障软件品质,进而助力整个互联网软件行业应对5G新时代的挑战。

  • 外媒:阿里巴巴拟投资智联招聘数亿美元

    DoNews9月21日消息(记者 翟继茹)据外媒援引知情人士消息称,阿里巴巴正计划向智联招聘投资数亿美元,从而成为后者的大股东之一。据报道,拥有智联招聘61%股份的Seek透露,智联招聘正在与多方就新的投资进行讨论,来支持其达到增长目标。数据显示,智联招聘目前拥有1.8亿用户,合作企业超过450万。2017年下半年,Seek与方源资本、高瓴资本达成协议,智联招聘达成私有化,退出纳斯达克。(完)

  • OKEx研究员:NFT的风险与收益大于BTC这类同质化资产

    币圈一日,人间一年,绝不是空口而言。正如最近,可能你刚刚读懂的DeFi,结果圈内又开始热烈讨论起了NFT。加密市场绝不缺乏热点,加密从业者也唯恐被快速变化的行业落下。对于最近火爆的NFT,金色财经就其相关概念和产业前景对话OKExResearch首席研究员William。如果你还不了解,那么本篇或许可以作为入门。金色财经:如何理解NFT非同质化代币?NFT的起因和特性有哪些?为什么会在这个时间被频繁提及?OKExResearch首席研究员Willi

  • 上海与阿里巴巴、蚂蚁集团签署战略合作协议

    今日,网信上海公众号发文称,上海与阿里巴巴集团、蚂蚁集团昨天在沪签署战略合作协议。此次签约后,上海市和阿里巴巴集团、蚂蚁集团将围绕在线新经济、数字新基建、金融科技、跨境业务、数字生活、云上会展等方面开展合作

  • 阿里巴巴:过去四个月天猫售后处理时长缩短60%

    阿里集团客户体验事业群(简称阿里CCO)方面表示,自今年 5 月发布商家协同服务机制至今,天猫商家平均售后问题处理时长缩短了60%。据悉,该机制能将消费者诉求以工单方式同步给商家,联同商家在 24 小时之内解决问题。 9 月 25 日,阿里CCO方面表示,未来机制将逐渐向淘宝商家推进。

  • 阿里巴巴、上海战略合作:三大总部、三大中心落户

    10月9日晚间,阿里巴巴宣布,阿里巴巴集团、蚂蚁集团与上海市政府签署战略合作协议。这是2015年以来,阿里、上海双方的第三度战略合作。根据最新合作协议,阿里巴巴的三个总部、三个中心将正

  • 喻会蛟12%股份完成过户 阿里巴巴成圆通第二大股东

    据国内媒体报道,圆通速递刚刚发布公告称,公司于2020年9月21日获悉,公司控股股东蛟龙集团及实际控制人喻会蛟、张小娟向阿里网络协议转让其所持公司股份3.79亿股已于2020年9月18日完成过户登记

  • 阿里巴巴港股上涨超1% 股价报292.6港元创新高

    截至目前,阿里巴巴港股上涨1.04%,股价报292.6港元创新高,总市值达62797.18亿港元。

  • 阿里巴巴位列“最具价值中国品牌100强排行榜”榜首

    今日,中国上海—WPP与凯度今日共同发布2020年“BrandZ™最具价值中国品牌100强排行榜”,阿里巴巴位居榜首。

  • 阿里巴巴集团、蚂蚁集团三个总部三个中心正式落户上海

    9日晚,阿里巴巴集团、蚂蚁集团与上海市政府签署战略合作协议。根据协议,阿里巴巴集团、蚂蚁集团的三个总部和三个中心正式落户上海。其中,三总部分别指支付宝总部、盒马总部、本地生活总部,三中心分别是阿里上海研发中心、阿里新零售中心、蚂蚁科技中心。阿里巴巴集团董事会主席兼首席执行官张勇表示:“阿里巴巴有越来越多的业务落地上海,诞生成长于上海,在上海实现‘无中生有’。我们希望

  • 阿里巴巴与DUFRY同意在中国组建合资企业 持股比例不超过9.99%

    今天阿里巴巴与DUFRY同意在中国组建合资企业,计划对其进行股权投资,建立合资企业后,阿里计划持有DUFRY不超过9.99%的股份。

  • 阿里巴巴:淘宝特价版MAU达5500万

    在今日的阿里巴巴2020年度全球投资者大会上,淘宝天猫总裁蒋凡表示,过去一年,阿里巴巴中国零售市场年度活跃消费者达到7.42亿,移动月活跃用户增长1.19亿,其中70%的新增用户来自下沉市场,预计未来2至3年依然还有很大上涨空间。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签