首页 > 传媒 > 关键词  > 360漏洞研究院最新资讯  > 正文

360漏洞研究院青训队成功破解6大项目,斩获39万美元奖金!

2021-10-18 15:47 · 稿源:站长之家用户

10月17日,为期两天的“天府杯”国际网络安全大赛落下帷幕,近百位技术白帽齐聚于蓉,展开一场酣畅淋漓的破解之战。 360 漏洞研究院青训队凭借攻破Chrome、微软ExchangeServer2019、iphone13Pro、Ubuntu20/CentOS8、AdobePDFreader、PrarllelsDesktop六大项目,一举斩获39万美元奖金,获得2021“天府杯”(第四届)国际网络安全大赛第三名。

image.png

首日开场,360漏洞研究院青训队率先利用2枚0day漏洞攻破Chrome项目,夺得15万美元大赛奖金。在漏洞威胁层面,该漏洞表现出了极大的危害性。用户点击链接后,不需要其他任何交互,攻击者即可远程操控用户设备,从而窃取用户的账号密码、照片、通话记录等隐私数据,甚至使用摄像头进行监控,对用户安全产生极大威胁。该项目的攻破也让360安全团队成为“天府杯”唯一实现Chrome“二连胜”的战队,继去年“天府杯”大赛唯一攻破Chrome项目之后,360安全团队再一次完整突破Chrome沙箱防护,实现全套利用。

接着,360漏洞研究院青训队贡献出一枚微软ExchangeServer2019的远程代码执行漏洞。凭着该高危漏洞,360漏洞研究院青训队仅以 6 秒时间迅速攻下ExchangeServer项目,夺得评委组评定的 6 万美元大赛奖金。

众所周知,Exchange服务器是全球企业机构最主流的邮件服务系统之一,据悉,全球范围内至少 150 万台在公网开放的服务器可能受到该漏洞的影响。不法攻击者若利用该漏洞,可从外网访问邮件服务器,进而直接获取公司域的控制权限,大量的公司内部资产处于沦陷状态,而攻击者不仅可以窃取内部敏感数据,还能获得对受害环境的长期监听控制权。该漏洞的幕后发现者是长期为政企用户及合作伙伴提供安服支持的360高级攻防实验室,鉴于该漏洞广泛存在于政府和企业机构的应用架构之中,因此该漏洞也成为了本届“天府杯”在政企用户防护研究方向上,极具实用价值的安全漏洞。

攻破每年最新款iPhone手机,已成为“天府杯”展现技术硬实力的标志。今年,360漏洞研究院青训队在iPhone13Pro的攻破上也取得亮眼的成绩。360安全研究员为“天府杯”贡献一枚苹果Safari漏洞,尽管苹果引入了最先进、难度最高的安全防护机制指针验证码(PAC),使得入侵iPhone变得困难重重,但是利用该漏洞依然成功绕过了PAC防护措施,顺利攻破浏览器,完成任意代码执行,并且iOS和MacOS平台均受该漏洞影响。

决赛当天, 360 漏洞研究院青训队又在Linux项目上取得了突破,利用一枚高危级别的提权漏洞现场攻破Linux系统,该漏洞影响Ubuntu和CentOS等主流Linux发行版,其潜伏时间长达六年以上,覆盖版本3.x-5.x。利用该漏洞可以获取操作系统ROOT权限,窃取及篡改系统及用户的敏感数据。接着,3 60 漏洞研究院青训队接连攻破AdobePDFreader项目,成就了360在“天府杯”AdobePDFreader项目上的“三连胜”记录。利用该Adobereader软件漏洞,用户在使用reader时一旦不小心打开了被恶意构造的PDF文档,攻击者便可实现任意代码执行,包括窃取用户信息、下载木马等。

最后, 360 漏洞研究院青训队以一枚MacOS虚拟机漏洞收官,这也是“天府杯”大赛举办四年来首次设立的MacOS虚拟机相关项目,正是由于该漏洞的成功利用,助力 360 漏洞研究院青训队最终夺下了ParallelsDesktop项目。

据悉,出征应战本届“天府杯”的成员正是来自360政企安全集团的新一代安全实战专家团队。这支队伍中大多数的安全专家均为95后,甚至不乏98年和99年的漏洞研究专家。这群年轻的安全白帽对于高危漏洞挖掘和产品安全性提升,有着极高的使命感和担当精神,长期以来在漏洞领域保持深入研究,也在本届“天府杯”之战中,以精湛的技术实力夺得总价值为39万美元的丰厚奖金。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • Hoo虎符交易所研究院 | 传说中的灰度基金是什么

    伴随着 2020 年 11 月开启的数字货币牛市,一个之前很少听说的机构突然频繁出现在各种与比特币价格相关的新闻中,那就是灰度基金,币圈甚至传言:“没有灰度基金的参与,就不会有今天比特币的 57736 美元的高价,”也正是因为如此,让灰度基金备受关注,不过来自虎符交易所研究院的cici发现,对于很多投资者来说,却并不了解灰度基金,甚至都不知道灰度基金的含义,那么,灰度基金到底是什么意思呢?一、灰度基金的由来灰度投资公?

  • Hoo虎符交易所研究院|Web3.0的发展(上): 从Web到Web3.0

    人工智能、区块链、5G、云计算、Web3. 0 等技术概念被视为是下一代科技创新的核心概念。其中,Web3. 0 随着区块链技术的的火热发展也多次被带入公众视野。虎符交易所研究院的cici认为,在讨论Web3. 0 之前,必要先了解Web的概念。Web概念的诞生Web的概念最早可以溯源到 1989 年,在CERN(欧洲粒子物理研究所)的Tim Berners-Lee领导的小组提出了一个针对互联网的新协议,以及一个使用该协议的文档系统,这个新系统被命名 World Wid

  • Hoo虎符交易所研究院 | DeFi专题 - 什么是闪电贷

    传统金融中进行贷款时,通常需要由金融机构进行信用评估,或投入抵押品给金融机构进行抵押,才能申请贷款。在贷款结束后,借款人按时偿还和支付所借的本金和约定的利息,其信用和抵押物则不会受到影响。据Hoo虎符交易所研究院的cici介绍,自 2020 年以后,随着Aave、dYdX等DeFi协议的应用,闪电贷也开始进入区块链的公众视野。闪电贷的起源与发展闪电贷(Flash Loan),即通过智能合约完成零风险贷款,最早由自称为“智能合约银行?

  • 虎符交易所研究院:区块链在现实中的应用实例与价值

    随着加密货币的发展,区块链技术和相关概念也开始走红“出圈”,成为了资本眼中的一个“争夺点”。据虎符交易所研究院了解,市场上已经有越来越多的资金流入以及技术发展持续带火区块链技术和概念,区块链也在各行各业得到了不同程度的运用。区块链的起源与发展2008 年 11 月 1 日,中本聪(Satoshi Nakamoto)发表了《一种点对点的电子现金系统》,描述了基于P2P网络技术、加密技术以及区块链技术等的“去中心化”电子现金系统的?

  • Hoo虎符交易所研究院|什么是区块链浏览器

    作为互联网用户,如果要查阅互联网上的内容时,通常会借助如Chrome、Safari、Firefox等各类网页浏览器。同样的,如果要查阅区块链上的内容时,用户可以借助区块链浏览器来进行。今天虎符交易所研究院就与大家一起分享区块链浏览器的相关知识,通过今天的内容,你将会了解:· 什么是区块链浏览器?· 区块链浏览器可以查询的信息?· 区块链浏览器有哪些使用案例?(一)什么是区块链浏览器作为使用去中心化数据存储、点对点传输,

  • 虎符交易所研究院:备受关注的NFT到底是什么?

    2021 年NFT一路走红,先有NBA球星斯蒂芬·库里(Steph Curry)花 18 万美元买一个头像,后有传统拍卖巨头佳士德 6930 万美元售出著名艺术家Beeple的作品《Everydays: The First5000 Days》。今天,虎符交易所研究院带大家深入浅出的了解NFT到底是什么?和区块链又有什么关系?什么是NFT?大家熟知的比特币、以太坊等加密资产都是同质化代币(Fungible Tokens)。这类代币存在着可替代性、可分割性及一致性的特点。比如,每一枚以太

  • 虎符交易所研究院:Play-to-Earn游戏如何做到 “边玩边赚”?

    2021 年,“边玩边赚”模式游戏在各种区块链项目中异军突起,吸引了大量的玩家和资方的加入。今天虎符交易所研究院就和大家聊聊“边玩边赚”游戏和一般的电子游戏有什么不同?为什么一般的电子游戏不能很好地做到让玩家“边玩边赚?什么是“边玩边赚”游戏过去的一些网络游戏,如《暗黑破坏神》、《反恐精英》、《魔兽世界》等游戏,玩家们通过一些外部第三方的交易平台,将游戏内获得的道具甚至是账号交易给其他玩家后获得收入。?

  • 热烈祝贺深圳海洋电子信息产业研究院揭牌仪式圆满成功

    2021 年 11 月 24 日,深圳海洋电子信息产业研究院在深圳国家工程实验室大楼揭牌,揭牌仪式由广东省自然资源厅、深圳市南山区人民政府、深圳市规划和自然资源局、西北工业大学深圳研究院、清华大学深圳国际研究生院支持,深圳国家高技术产业创新中心和深圳市智慧海洋科技有限公司共同主办。广东省自然资源厅党组成员、副厅长、省海洋局局长屈家树,南山区委副书记、区长黄湘岳,深圳市规划和自然资源局党组成员、副局长高尔剑等领

  • 时趣受邀参与CAAC汽车营销研究院《智能电动汽车时代新营销》报告共创

    近日,由CAAC汽车营销研究院、汽车数字化研享社联合主办的《智能电动汽车时代新营销》驱势·新营销主题沙龙在北京中国商务广告协会顺利举办。本次主题沙龙正式发布了《智能电动汽车时代新营销》报告,时趣作为CAAC汽车营销研究院理事单位成员受邀参与本次报告共创,并针对当前智能电动汽车产业新趋势及营销变革进行了深度解读和分享。本次驱势·新营销主题沙龙活动由CAAC汽车营销研究院副院长陈晓峰主持,中国商务广告协会会长李西

  • 爱奇艺诉360浏览器获赔

    据知产北京公众号消息,近日,北京知识产权法院审结了一件浏览器带有“边录边播”、“一键分享”功能被诉构成不正当竞争的上诉案件。

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天