Авторы проанализировали два типа атак: специфическую для облачных систем атаку на управляющий программный интерфейс с помощью обертывания сигнатур XML-сообщений (XML signature-wrapping) и кросс-сайтовые атаки на браузерные веб-интерфейсы, в том числе известной облачной платформы с открытым кодом Eucalyptus. Исследователи подчеркивают, что обнаруженные ими методы атак могут работать не только на перечисленных платформах.
Представители Amazon сообщают, что находятся в контакте с немецкими исследователями и работают над устранением выявленных ими проблем.Однако в компании утверждают, что уязвимость не так широко распространена, как считают исследователи, и затрагивает лишь небольшую долю аутентифицируемых вызовов программного интерфейса Amazon Web Services, не использующих SSL. В компании намереваются в будущем исключить эти вызовы из интерфейса.
Via Osp.ru
Горячие темы