秦巴网群 巴中 | 广元 | 德阳 | 广安 | 绵阳 | 汉中 | 安康 | 宝鸡 | 天水 | 商洛 | 固原 | 十堰 | 陇南 | 白银 | 恩施 | 襄阳 | 凉山 | 西峡 | 南阳 | 陇西 | 三门峡
您现在的位置:首页 >> 科技数码

ISC现场探秘:Pwn2Own史上最高难度破解之谜

【2017年09月11日 10:31:00】【来源:中国经济网】【字体: 】【颜色: 绿 】【我说两句()
    提到今年安全圈最令人振奋的消息,莫过于3月的Pwn2Own世界黑客赛场上,中国击败美、德等老牌黑客强国而夺冠。在这场象征黑客最高荣誉的比赛中,360安全团队代表中国捧回了“Master of Pwn”的总冠军奖杯,还成功实现了对Edge+Win10+VMware的连环三杀破解,创造了Pwn2Own史上最高难度破解的纪录。

image.png 

  能够完成这次“看似不可能的任务”,得益于精妙的漏洞组合,利用Edge、Win10、以及VMware中的3个0day漏洞打造了一个完美的攻击链,360安全团队仅用时63秒就拿下了27分的赛事史上最高积分。

  该破解随即引起了安全行业的轰动,Pwn2Own赛事主办方、美国五角大楼网络安全服务商ZDI、BlackHat官方评审Daniel Cuthbert、Facebook首席安全官Alex Stamos等业界权威专家纷纷盛赞其“不可思议”。赛后不久,360安全团队还凭借该破解入围了“黑客奥斯卡”Pwnie奖最具含金量的年度“史诗级成就奖”提名。

image.png 

  Pwn2Own落幕已近半年,但关于破解的讨论仍未降温,史上最高难度破解到底用了怎样缜密而巧妙的漏洞利用逻辑?相信除了技术范围内的探讨,Pwn2Own中国夺冠激发的自豪感,也是让国内安全从业者对该疑问兴趣盎然的原因。

  要知道,Pwn2Own曾经是西方垄断的天下,而短短几年间,中国安全技术就呈赶超之势,并登上世界黑客的最高荣誉殿堂。也许,还原这次破解,就是认识中国顶尖技术实力最直观有效的方式。

  9月13日,在ISC2017中国互联网安全大会的“漏洞挖掘与源代码安全”论坛现场,360代码卫士高级安全研究员、Pwn2Own比赛总冠军成员之一国鹏飞将首度公开该高难度破解背后的秘密,详解破解过程的重要一环——Windows系统古老“神洞”是如何被发现的。

  关于这个Windows漏洞,还有一段有趣的来历。2004年,微软泄露了部分nt4源码,别看这些代码已经有20多年的历史,但里面却仍藏着不少近年来才修补的漏洞。国鹏飞将要展示的就是可以通杀所有版本Windows系统的强大的漏洞。他不仅将现场演示利用该漏洞完成对Windows系统的提权攻击,还将分享挖掘漏洞的方法和思路,改变过去只能通过逆向分析和模糊测试挖掘Windows内核漏洞的观念,展示源码审计对漏洞挖掘的价值。

  想了解Pwn2Own总冠军的破解思路?想知道中国顶尖安全研究者超越西方安全强国的秘密武器?ISC2017的“漏洞挖掘与源代码安全”论坛绝对是最好的选择!

image.png 

  ISC迄今今年已经是第五届,作为亚太地区安全行业规模最大、影响力最高的行业盛会,每一届大会都吸引了大量来自世界各国的顶级安全安全专家和安全从业人员参与,经过不断地积累、创新,中国互联网安全大会一定程度上已经成为中国互联网安全行业的展的风向标,逐渐成长为网络安全行业世界级平台。

【责任编辑:小泥巴】
页面功能:【打印】【关闭
网友评论
本文共有人参与评论
验证码:  
匿名发表

版权与免责声明:

① 凡本网注明“稿件来源:巴中讯”或“稿件来源:巴中讯综合”的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明稿件来源,违者本网将依法追究责任。

② 本网未注明“稿件来源:巴中讯”的文/图等稿件均为本网转载稿,本网转载出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如其他媒体、网站或个人从本网下载使用,必须保留本网注明的“稿件来源”,并自负版权等法律责任。如擅自篡改为“稿件来源:巴中讯”,本网将依法追究责任。如对稿件内容有疑议,请及时与我们联系。

③ 如本网转载稿涉及版权等问题,请作者在两周内速来电、来函与我们联系。

COPYRIGHT ©:2006-2016 BZXHW.COM & BZXUN.COM INCORPORATED. ALL RGIGHTS RESERVED. 蜀ICP备12014064号
设计制作:巴中讯网络信息中心 投稿信箱:XHW_BZ@163.COM 4212339@QQ.COM
建议使用1024*768分辨率浏览 川公网安备 51190202000070号