Pwn2Own总冠军现身补天白帽大会 传授夺冠秘籍

2017-04-01 16:07:00 作者:ym 分类 : 比特网

  回想学生时代,有一个噩梦肯定跑不了。苦苦背下了所有重点,可临上考场才发现,卷子换成了B卷,这时你该怎么办?默默准备好补考费,仰天长啸涕泪横流,这是学渣的做法,对于学霸来说,只需要左脑右脑一个慢动作切换。

  最近频繁刷屏的Pwn2Own黑客考场,中、美、德三国考生同台,全球黑客抻着脖子观战。考试前一周,微软和FireFox两个科目考题生变,考前一天,苹果考题再生变,官方更新的补丁让不少参赛者准备的漏洞出师未捷身先死,彻底沦为打酱油之流。

  但是,这些下马威根本难不倒学霸,360安全团队在漏洞临时被补的情况下,如同机器猫一样神奇地从口袋里掏出了备用钥匙,解锁了微软、苹果、AdobeVMware的六大项目,稳稳地把Master of Pwn的奖杯捧回了中国。

  3月30日,安全圈的机器猫——360核心安全事业部总经理、Vulcan团队负责人MJ现身补天白帽大会,分享了神奇口袋中的夺冠道具,并首次公开了赛前被补的三大浏览器漏洞。既共享考题答案,又共享解题思路,这应该就是传说中的“授人以鱼并且授人以渔”吧。

  话不多说,看看这支冠军队伍到底分享了什么:

  全世界最厉害的黑客都在研究浏览器漏洞,就问你怕不怕?

  浏览器漏洞是非常有价值、有影响的攻击面,全球最厉害的黑客都在研究浏览器漏洞,白帽子不得不争分夺秒地赶在黑帽子之前发现未知威胁,以防漏洞被黑帽子恶意利用。微软、谷歌等厂商更是不吝赏金,鼓励安全研究者为自家产品寻找漏洞。

  2016年,360向微软、谷歌、苹果等各厂商提交漏洞共408枚,这一破纪录的成绩在全球安全厂商中排名首位,协助厂商让全球的智能设备变得更加安全。

  挖掘浏览器漏洞,你可以试试自动化FUZZ+人工化代码审计!

  过去,通过自动化FUZZ的方式能轻松挖掘几百个浏览器漏洞,但现在,除非有更好的FUZZ工具和思路,否则产出高质量漏洞的难度越来越高;再说代码审计,如今各个浏览器引擎都开放了源代码,如果能在细读代码的过程中发现别人没有关注的新功能,就能发现别人发现不了的新漏洞,但纯粹通过代码审计对研究员的精力要求是非常大的,先FUZZ出大块问题,再利用代码审计读取细节,这种组合不失为一种挖洞的好方法。

  绕过沙盒才是突破浏览器的王道,问题是你的漏洞够用吗?

  突破浏览器沙盒,这在去年可是Pwn2Own的准入门槛。沙盒会形成一个虚拟运行环境,浏览器上的操作都会在这个虚拟的程序中运行,想要入侵电脑,必须找到沙箱的漏洞,并绕过沙箱攻击真实的主机,也就是所谓的沙箱逃逸。

  毫无疑问,沙盒绕过是攻破浏览器的王道,但问题是现在设备访问控制如此严格,你还能找到漏洞嘛?找到漏洞后,你的漏洞还能触发和利用嘛?这个时候怎么办,当然是要学会留意一些别人不太注意的问题。举个例子,大家可能认为沙盒本身做得很安全,而实际上,沙盒无论是本身的设计还是应用情景等方面都存在很多问题,沙盒的broker接口、系统LPC等曾经都是Pwn2Own赛场上利用的严重攻击面。

  祭奠Pwn2Own赛前“阵亡”的三个浏览器神洞

  Pwn2Own是全球公认的知名度最高、含金量最重、也可能是最为刺激的黑客比赛,考前临时换卷子这种变态的情况更是常常出现,360准备的FireFox、Safari以及Edge的三个神洞也就是在赛前不久阵亡的。

  但对于360来说,机器猫万能的口袋不是随便吹吹的,漏洞被补不可怕,没能从挖洞中总结经验才要命。比如,被补的FireFox漏洞针对的模块是JS脚本引擎,由于该引擎往往加入很多优化代码,所以审计起来十分困难,但也正因这个原因,很可能存在一些隐藏很深的“神洞”等待挖掘。

  再回头看看被补的Safari整数溢出漏洞,会发现其实最简单的漏洞模式,在成熟的软件里面仍然大量存在,代码审计过程中千万不要漏掉这种可能性;最后,从Edge被补的漏洞得出的经验教训就是,JS回调、内核回调等常见的漏洞要求处理跳进跳出等复杂情况,程序员只有避免一条道走到黑的直线思维,才能避免在修复或验证的场景下出错。

  其实,细细看来,360提供的所谓经验,无非可以总结为三句话,“跳出刻板思维”、“审视平凡细节”、“不急不躁静待柳暗花明”,这些看来粗糙的道理,却是360安全团队用十年如一日的安全攻坚换来的。

  从2015年到2017年,他们在Pwn2Own赛场上拿下了15项冠军,在2017年还拿下了最具含金量的Pwn2Own十周年总冠军。凭借认死理儿的劲头,以及这些朴素的道理,这群机器猫肯定还能从口袋里折腾出更多我们意想不到的奇迹。

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。