乌兰察布信息港
汽车
当前位置:首页 > 汽车

长亭科技闪耀BlackHat20171石

发布时间:2019-05-15 08:08:36 编辑:笔名

2017年7月日,全球瞩目的Black Hat 2017在美国拉斯维加斯盛大举行,作为信息安全领域的盛事,从黑客大咖到全球安全企业都将使出他们的浑身解数,来展现的技术研究成果。所以,每年Black Hat都会带来许多闻所未闻的安全攻防技术。值得关注的是,在Black Hat2015上因分享 新型SQL注入检测与防御引擎SQLChop而获得全球安全专家一致认可的新锐安全企业长亭科技,再次现身Black Hat2017分享其技术发现成果,接下来让我们1探究竟。

据悉,今年长亭科技的议题选用一个具有中国文化含义的表达many birds one stone,一石多鸟:利用单个SQLite漏洞破解多个软件,是一个与SQL内存破坏漏洞相关的话题。

图1:通过80%筛选率,长亭科技技术议题入选BlackHat

图2:长亭科技中选议题及内容

SQLite作为嵌入式Database软件,广泛用于应用软件中的本地/客户端存储,如Web浏览器和APP移动应用程序。SQLite中的内存破坏毛病通常不被视为安全问题,因为人们认为它不可能被利用。长亭安全研究实验室经过一段时间的研究发现,利用SQL的另一种攻击思路基于内存破坏的SQL攻击,并经过四个维度验证:基于SQL内存破坏漏洞攻击,危害非常大!

基于SQL内存破坏漏洞进行攻击,可能造成:单一漏洞可以同时破解掉常见的Safari、Chrome、Opera等浏览器,和,你上常出现的多种APP。这些攻击可以造成大范围的用户信息泄露,不仅局限于站上填写的姓名等用户基础信息,更包括了支付软件中的银行卡等敏感信息,一旦被意图不轨者掌握并利用,后果非常严重。针对运用层的攻击频次连年增长,攻击方式更加多元,而越来越多企业的业务又依托互联来实现,避免运用层安全失守成为企业不可躲避的问题。

今年3月,长亭安全研究实验室在Pwn2Own比赛上首次使用了这类技巧,并在Black Hat USA 2017大会上将技术公开分享,以实际的内存损坏案例展示攻击危险。长亭科技的这个研究发现,为企业的安全防护提供了新思路,及时避免黑客攻击造成的损失。目前,长亭已将相干漏洞提供给了对应厂商,均已及时得到修复。

两年前的Black Hat2015大会上,长亭科技就曾受邀Black Hat分享SQL注入攻击的相干研究发现无规则SQL注入攻击检测与防御引擎;除演讲,长亭科技还将技术研究成果送上了Blackhat的展示舞台军械库。ARSRNAL上曾出现过不少的工具,有一些很多年前的工具乃至在现在仍然无法被超越,而这个取得全球技术专家一致认可的研究成果,正是长亭雷池(SafeLine)下一代Web应用防火墙的技术雏形。

图3:想体验这款SQLChop进阶版,请移步

此外,还需要提及的是,在Black Hat 2017上长亭科技两人取得Pwnie Awards两个奖项提名。公然资料显示有白帽黑客奥斯卡之称的Pwnie Awards奖是BlackHat上的保存节目,专为有重大和突出研究成果的信息安全工作者设立,对于全球范围内的信息安全工作者来讲,取得Pwnie Awards奖提名是其职业生涯中极为荣耀的一刻。

图5:长亭科技两人取得Pwine Awards两大奖项提名

被提名和得奖都是全球安全业界别荣誉的象征,这也意味着长亭科技的两位被提名者的研究成果不仅要有实实在在的影响力,并且还要具有前瞻性,能够为安全行业的未来发展产生深入影响。

月经不调吃点什么调理
月经有血块怎么调养
月经有血块如何调理