站长之家首页 > 传媒 > 长亭科技最新资讯 > 正文

长亭科技闪耀Black Hat2017 “一石多鸟”击溃全线浏览器

2017-07-31 15:47 · 稿源:站长之家用户投稿

2017 年 7 月22- 27 日,全球瞩目的Black Hat 2017 在美国拉斯维加斯盛大举行,作为信息安全领域的顶级盛事,从黑客大咖到全球顶尖安全企业都将使出他们的浑身解数,来展示最新的技术研究成果。所以,每年Black Hat都会带来许多闻所未闻的安全攻防技术。值得关注的是,在Black Hat2015 上因分享 “新型SQL注入检测与防御引擎SQLChop”而获得全球安全专家一致认可的新锐安全企业长亭科技,再次现身Black Hat2017 分享其最新技术发现成果,接下来让我们一探究竟。

据悉,今年长亭科技的议题选用一个具有中国文化含义的表达——many birds one stone,“一石多鸟:利用单个SQLite漏洞破解多个软件”,是一个与SQL内存破坏漏洞相关的话题。

图1:通过80%筛选率,长亭科技技术议题入选BlackHat

图2:长亭科技中选议题及内容

SQLite作为嵌入式Database软件,广泛用于应用软件中的本地/客户端存储,如Web浏览器和APP移动应用程序。SQLite中的内存损坏错误通常不被视为安全问题,因为人们认为它不可能被利用。长亭安全研究实验室经过一段时间的研究发现,利用SQL的另一种攻击思路——基于内存破坏的SQL攻击,并经过四个维度验证:基于SQL内存破坏漏洞攻击,危害非常大!

基于SQL内存破坏漏洞进行攻击,可能造成:单一漏洞可以同时破解掉最常见的Safari、Chrome、Opera等浏览器,以及,你手机上最常出现的多种APP。这些攻击可以造成大范围的用户信息泄露,不仅局限于网站上填写的姓名电话等用户基础信息,更包括了支付软件中的银行卡等敏感信息,一旦被意图不轨者掌握并利用,后果非常严重。针对应用层的攻击频次连年增长,攻击方式更加多元,而越来越多企业的业务又依靠互联网来实现,防止应用层安全失守成为企业不可回避的问题。

今年 3 月,长亭安全研究实验室在Pwn2Own比赛上首次使用了这种技巧,并在Black Hat USA 2017 大会上将技术公开分享,以实际的内存损坏案例展示攻击危险。长亭科技的这个研究发现,为企业的安全防护提供了新思路,及时避免黑客攻击造成的损失。目前,长亭已经将相关漏洞提供给了对应厂商,均已及时得到修复。

两年前的Black Hat2015 大会上,长亭科技就曾受邀Black Hat分享SQL注入攻击的相关研究发现——“无规则SQL注入攻击检测与防御引擎”;除了演讲,长亭科技还将技术研究成果送上了Blackhat的展示舞台军械库。ARSRNAL上曾出现过不少优秀的工具,有一些很多年前的工具甚至在现在仍然无法被超越,而这个获得全球顶级技术专家一致认可的研究成果,正是长亭雷池(SafeLine)下一代Web应用防火墙的技术雏形。

图3:想体验这款SQLChop进阶版,请移步https://sqlchop.chaitin.cn

此外,还需要提及的是,在Black Hat2017 上长亭科技两人获得Pwnie Awards两个奖项提名。公开资料显示有白帽黑客奥斯卡之称的Pwnie Awards奖是BlackHat上的保留节目,专为有重大和突出研究成果的信息安全工作者设立,对于全球范围内的信息安全工作者来说,获得Pwnie Awards奖提名是其职业生涯中极为荣耀的一刻。

图5:长亭科技两人获得Pwine Awards两大奖项提名

被提名和得奖都是全球安全业界最高级别荣誉的象征,这也意味着长亭科技的两位被提名者的研究成果不仅要有实实在在的影响力,并且还要具备前瞻性,能够为安全行业的未来发展产生深入影响。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 大家在看
  • 相关推荐
  • Piriform推出CCleaner 80.0隐私浏览器 基于Chromium内核打造

    在被 Avast 收购后,Piriform 著名的 CCleaner 计算机垃圾清理软件也算找到了新东家。现在,经过一段时间的预览,该公司又推出了基于 Chromium 内核的 80.0 专版浏览器。CCleaner Browser 主打无广告、无追踪、无垃圾内容和内置安全等特性,为用户提供了易于使用的隐私工具,以减少数字足迹。

  • 受疫情影响 谷歌Chrome浏览器/Chrome OS暂停更新

    3 月 19 日消息,据外媒报道,谷歌宣布暂停Chrome浏览器更新。谷歌在声明中表示,由于工作日程调整,我们暂停发布Chrome浏览器和Chrome OS版本更新。

  • vivo发布NEX极简浏览器:简洁流畅无广告!

    3月10日,vivo召开网络发布会,正式发布了全新5G旗舰vivo NEX 3S 5G,此外vivo还推出了一款全新浏览器APP——NEX极简浏览器。

  • 谷歌地球宣布支持Firefox、Edge和Opera多款浏览器

    当谷歌决定放弃桌面版Earth app转而支持网络体验时,就表示“几乎已经准备好支持Firefox和其他浏览器。现在,谷歌终于实现了这一承诺。

  • 谷歌暂停Chrome浏览器更新,原因是工作日程调整

    3月19日消息,Google Chrome团队宣布,由于新型冠状病毒导致工作中断,他们将停止发布Chrome和Chrome OS操作系统的更新。Chrome开发团队表示:“由于工作日程的调整,我们暂停了即将推出的Chrome和Chrome操作系统版本。我们的目标是确保依赖于它们的任何人继续保持稳定、安全和可靠。我们将优先考虑与安全相关的更新,这些更新将包含在Chrome80 中。敬请期待。”

  • 微软新Edge浏览器势如破竹:市场份额已无限逼近Firefox

    ​Chrome和Firefox兴起的背后是IE没落,尽管Edge仍以预装的形式出现在Win10 平台,却成了“扶不起来的阿斗”。于是微软痛定思痛,放弃自研内核,将Edge切换到Chromium平台,并打造成一款Win7、Linux、iOS、Android等通吃型浏览器,以期扩展份额。

  • Opera 美国用户现可使用 Apple Pay 通过浏览器购买比特币

    Opera 与美国加密货币经纪公司 Wyre 合作,可直接从浏览器的加密钱包中轻松,安全地进行加密货币购买。美国的 Opera Android 用户现在可以使用借记卡购买 BTC 和 ETH。iOS 用户可以简单地使用 Apple Pay 进行购买。

  • 苹果公司宣布Safari浏览器对证书有效期的新要求

    近日,苹果公司在第49届CA/浏览器论坛(CA/Browser)会议上宣布,从2020年9月1日开始,所有有效期超过了398天的新网站证书都将不会受到Safari浏览器的信任。而在截止日期(2020年9月1日)之前颁发的证书不受此规则的影响。这意味着使用截止时间(2020年9月1日)之后发出的超过398天SSL/TLS的证书都将被苹果系统的浏览器拦截。此日期之前颁发的证书不受影响,无需更换或修改。目前可以继续颁发两年期证书,直至2020年8月31日,并使用它们?

  • 谷歌搬来“救兵”:Intel将操刀优化Chrome浏览器耗电量高的顽疾

    随着微软的加入,Chromium俨然加强了自己作为第一大浏览器平台的地位。不过,实测发现,新Edge同样没能解决掉Chrome占用运算资源多、耗电多的顽疾。好在Chromium是套开源平台,能搭把手的大神或者厂商不计其数。

  • 苹果更新 Safari 浏览器反追踪技术,阻止所有第三方 Cookie

    苹果公司周二发布了其 Safari 浏览器智能跟踪预防(ITP)的重大更新,该功能使 Safari 可以阻止 Cookie 并防止第三方窥探用户的网络习惯。根据苹果的 WebKit 工程师 John Wilander 所说,Safari 现在可以阻止所有第三方 Cookie。这意味着,默认情况下,没有任何广告商或网站能够使用通用跟踪技术在互联网上关注到用户。

  • 长亭科技全新推出牧云(CloudWalker),主机安全防护能力上线

    据国家互联网应急响应中心统计, 2019 年上半年新增计算机恶意程序样本数量约 3200 万个,国内感染计算机恶意程序的主机数量约 240 万台,位于境外的约3. 9 万个计算机恶意程序控制服务器控制了我国境内约 210 万台主机。长亭科技全新推出牧云(CloudWalker)主机安全管理平台,基于Agent对主机进行深度安全检测和多维分析管理,以主机资产安全为核心、以安全事件为驱动,在庞杂的混合云环境下,提供一个不同的观察网络环境的安全视?

  • 傲游浏览器6支持区块链 官方:不涉及加密数字货币发行

    世界第一个区块链浏览器来了!本周,傲游浏览器6 正式上线,除了引进Chromium内核之外,最引人注目的功能就是支持区块链了。

  • 整体参与人数超200万丨OPPO浏览器春节系列活动圆满收官

    2020 年春节期间,OPPO浏览器推出春节系列活动,在特殊时期用创意有趣的活动给用户带来温暖陪伴。此次OPPO浏览器推出春节系列活动上线了「集齐我家团圆饭」、「金鼠贺岁」、「回家过大年」三大活动,让用户即使宅在家里,也能感受到春节的喜庆洋洋,装点春节团圆的时光。据了解,OPPO浏览器春节系列活动整体参与人数超过 200 万,更有佟丽娅、SNH48 等明星通过拜年的方式穿插在活动环节中,为春节增添喜气,为活动聚集人气,受到用

  • 长亭科技推出DDoS云防护解决方案,提供Tb级攻击时代有效防御措施

    在网络时代, 大流量分布式拒绝服务攻击(以下简称“DDoS 攻击”)已成为很多企业不得不面对的问题。据统计, 2019 年上半年我国境内峰值超过10Gbps的DDoS攻击事件数量平均每月约4, 300 起,同比增长18%。除了攻击频率的增加之外,攻击流量的峰值也在快速增长, 从 2013 年到 2018 年, DDoS攻击的流量峰值从300Gbps迅速上升到1.7Tbps。半数以上的网站在受到DDoS攻击后都很难消除影响,23%的网站在受到攻击后流量损失超过70%,陷入?

  • 3月起,多款浏览器将禁止访问TLS 1.0/1.1的HTTPS网站 85万个站点受影响

    超过 85 万个网站仍在使用旧的TLS 1. 0 和1. 1 协议,按计划Chrome、火狐等大多数主流浏览器将于本月晚些时候停止支持旧版协议。

  • Microsoft Edge比其他浏览器具有更多侵犯隐私的遥测

    来自爱尔兰都柏林三一学院的计算机科学与统计学院的 Douglas J Leith 团队近期进行了一项研究,分别对六个 Web 浏览器进行测试,以确定它们 phone home 的频率和它们共享的数据。这六个浏览器分别是,Google Chrome、Mozilla Firefox、Apple Safari、Brave Browser、Microsoft Edge 和 Yandex Browser。

  • 82%的PC使用Intel处理 CEO司睿博:科技造福地球上每一个人

    Intel CEO司睿博日前在采访中表态,希望未来的 10 年里,科技能够造福地球上每一个人。2020 年是 21 世纪第三个 10 年的开端,尽管今年一开年就遇到了全球危机的考验,但是人还是要往前看,科技还是要发展。

  • 众凑黑科技SuperHub,实力诠释科技改变生活

    Zendure 创新黑科技产品SuperHub于Kickstarter上发起了众筹,短短几天便收获超过1,700名支持者,累计筹集超过150,000美元的资金。科技外媒AppleInsider评价说:“SuperHub绝对是必不可少的技术产品。对于大多数用户而言,SuperHub拥有他们所需要的一切。”Zendure 2020年的重磅产品,SuperHub是一款充电器及数字影音转换器二合一产品。实际上,Zendure SuperHub是一个二合一的支持双口PD快充,USB3.1,5Gbps 数据传输以及4K@60f

  • 吸尘哪个牌子好?家庭用吸尘选购方法

    吸尘器是一种效率很高的清洁电器,能帮助人们解决室内垃圾打扫的大问题,素来在欧美发达国家很受欢迎。随着我国国民经济收入的提高,吸尘器在国内也越来越受欢迎,对于家庭用户来说,哪种吸尘器更好,哪个牌子最值得购买呢?下面小编就会为您带来相关内容。吸尘器分为桶式、立式、卧式、手持式等类型,其中桶式和卧式通常是采用电线供电,立式和手持式则以无线为主。现在新型的家用吸尘器以无线手持式为代表,其中排名第一的品牌是?

  • 平安出圈指南,金融科技、医疗科技如何筑起疫情护城河?

    2019 年平安的年报比去年时候还来得早了一些。 2020 年 2 月 21 日,中国平安发布 2019 年全年年报,为全民抗疫的当下带来一抹亮色。年报显示, 2019 年,公司归属于母公司股东的营运利润同比增长18.1%至1,329. 55 亿元;净利润同比增长36.5%至1,643. 65 亿元,归属于母公司股东的净利润同比增长39.1%至1,494. 07 亿元。平安整体业绩及核心金融业务持续稳健增长,科技赋能成效显著,生态赋能效果初显。“稳健”二字奠定了 2019 ?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天