IBM WebSphere MQ 安全性实现并非总是得到了其应有的重视或优先。正如我在之前的 developerWorks 专栏文章中提到的,很多 WebSphere MQ 安装都没有安全机制,或者更糟糕,实现了漏洞百出的安全措施却认为此安装是安全的。我去年一月撰写那篇文章的时候,WebSphere MQ 在其管理员和开发人员社区外还算不上非常重要的产品。从某种程度而言,您可以说我们所有的人都受到“未知”所带来的安全性的保护。所有这些于 2007 年 8 月 3 日在拉斯维加斯突然之间全改变了。
去年 7 月,WebSphere MQ 列表服务器充满了关于 Def Con 15 上即将举行详细讨论 WebSphere MQ 的安全漏洞利用的专题会议的信息。此专题会议由 MWR Infosecurity 的 Martyn Ruks 主讲,会议主题是“MQ Jumping”,其内容摘要包括以下描述:
此次演讲将揭示部署在实际环境中的 WebSphere MQ 安全性背后的真相,将了解攻击者如何滥用此软件来进行远程代码执行。演讲将重点讨论用于分析可用来保护 MQ 安装的安全控制的方法及其各自的局限。此后,将讨论用于通过 MQ 服务比较消息数据和操作系统的一系列方法。我们将演示演讲中提到的一些攻击,从而将此专题会议推向高潮,然后将讨论用于保护安装和确保不会出现安全违规的方法。
有的读者可能不了解 Def Con,宣称它是“世界上最大的地下黑客会议”。演讲摘要本身非常有诱惑力。其向这个特殊的受众宣传的概念显然非常可怕。第二天我预了班机飞往维加斯,并在会议举行的酒店订了房间。
听众如期而至,演讲按部就班举行。“MQ Jumping”部分尚未开始,甚至前一个演讲者尚未结束其演讲,主会场就开始拥挤起来。当 Ruks 先生登上讲台,会议室已经爆满,走廊和会议室后面挤满了与会人员。想像一下您曾经在所有电影电视中看到的每个中坚黑客分子:他们都在那里。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!