syscan大會邀請世界各地優秀網路黑客及安全專家分享最新的資訊保安研究成果,展現亞洲資訊保安需求的演進課題,發表最新的國際安全訊息。本屆在中國舉辦的syscan360大會持續兩天,吸引了來自世界各地的安全牛人,來自微軟、google、邁克菲、趨勢科技等的安全組織的專家分享了當前眾多的熱點話題。下面讓我們來重溫syscan360熱點!
▲syscan360前瞻資訊保安會議現場
國外黑客詳解windows核心漏洞
來自國際安全組織coseinc 高階安全分析員ben nagy在主題為《windows核心fuzzing入門》的演講中分享了系統核心缺陷錯誤挖掘技術以及系統的bug分類。ben nagy擁有五年的windows核心研究以及模糊測試經驗,並且非常痴迷ruby語言。ben毫無保留地透露了核心模糊測試的秘訣,包括選擇正確的目標、必要的知識儲備以及各種模糊測試的方法,如切入、生成測試用例以及如何擴充套件等。
ben特別指出,模糊測試需要進行反饋驅動測試、錯誤注入深度插樁測試以及崩潰樣本分析。而優秀的工具鏈有助於目標的快速重定位,他認為測試者必須了解自己認為有用的漏洞是什麼,這樣才能尋找到對自己最有用的資訊。
windows 核心漏洞種類多種多樣。ben將此分為三大類:本地到本地(包括提權、沙盒穿透等)、遠端到遠端、遠端到本地(需要使用者操作,通過電子郵件、文件、網頁位址等進行攻擊)。
google漏洞獎勵計畫經驗分享
來自谷歌安全專家kevin介紹到,「漏洞獎勵計畫」是谷歌專門為發現google軟體及產品漏洞發現者而設的獎勵計畫,漏洞發現者將獲得谷歌支付的現金獎勵以及其他額外鼓勵。谷歌此後還推出chrome瀏覽器漏洞獎勵計畫。這些漏洞獎勵計畫吸引了全球安全愛好者的關注,也幫谷歌公司大幅提公升了產品及服務的安全性。
「我們不會支付錢去修復漏洞」,kevin稱谷歌漏洞獎勵機制不是去買bugs,而是獎勵使用者在尋找漏洞時花費的時間。kevin表示,谷歌漏洞的範圍不包含dos、corp infrastructure、seo blackhat以及acquisitions(if<6 months)的攻擊。
那麼究竟什麼才是谷歌在尋找的漏洞呢?kevin詳細介紹驗證「合格漏洞」的四大步驟:合理的通知,私下的資訊披露,適當的測試,第乙個提出的、最好的解決。通過驗證分析漏洞,谷歌將給予使用者相應的獎勵。
kevin笑稱,並不是所有的漏洞報告都由技術人員發來,普通的網民也會參與到尋找漏洞的娛樂的過程中去。據介紹,有使用者冒著信用卡被刷爆的風險去尋找谷歌免費電影的漏洞,而谷歌為找個漏洞支付1337美元,希望該使用者能夠還清信用卡。
kevin表示,85.2%的漏洞由新人發現,僅14.8%的漏洞由老使用者發現,而且是前20%的人發現了80%的漏洞。但谷歌漏洞獎勵機制也面臨一些挑戰。kevin表示,谷歌經常會接到一些劣質報告,需要處理枯燥的文字,為分類和管理消耗大量的資源,而且一些人不喜歡為金錢而找bug,或是有人希望用非bug來取得獎金,這讓谷歌漏洞獎勵機制受到部分人的質疑。
原文發布時間為:2023年7月6日
kaduo
原文標題 :syscan360:大腕雲集 共話網路安全新勢
騰訊與360大戰
致廣大qq使用者的一封信 親愛的qq使用者 當您看到這封信的時候,我們剛剛作出了乙個非常艱難的決定。在360公司停止對qq進行外掛程式侵犯和惡意詆毀之前,我們決定將在裝有360軟體的電腦上停止執行qq軟體。我們深知這樣會給您造成一定的不便,我們誠懇地向您致歉。同時也把作出這一決定的原因寫在下面,盼望...
360提示三大中秋網路陷阱
一年一度的中秋佳節即將到來,不少上班族早已是 身在曹營心在漢 了。制定出遊方案 網購月餅 蒐集各種節日商家大回饋等活動已是如火如荼。360安全工程師指出,實際上,黑客們已挖好 木馬坑 懸起 釣魚誘餌 只等使用者上鉤。據360安全衛士惡意網頁監測資料顯示,出遊訂票 網購月餅 網遊中秋大禮包三大類為 黑...
360大牛解讀PHP面試 Linux基礎考察點
請寫出盡可能多的linux命令 linux常用命令 系統定時任務 vi vim 編輯器 shell基礎 系統安全類 sudo su chmod setfacl 程序管理 w top ps kill pkill pstree killall 使用者管理 id usermod useradd group...