日前阿里云安全团队受邀参加欧洲顶级信息安全会议HACK IN THE BOX(HITB),并以《Make JDBC Attack Brilliant Again 》为主题发表演讲。
HACK IN THE BOX(HITB)作为国际公认的最具影响力的信息安全会议,目前已成为全球十大安全峰会之一,也是欧洲规模最大、水平最高的信息安全会议,吸引了来自全球顶尖的安全技术专家、科研学术人员和企业代表参会,会议就信息安全最新研究动向、安全技术创新成果与公共安全漏洞分析等方面进行交流与讨论,所有参会的内容都需经过投稿与公开评选等程序,其演讲议题录用比例低于10%,深受信息安全相关领域的学者与从业人员的欢迎。
演讲视频地址:https://conference.hitb.org/hitbsecconf2021sin/livestream/
8月26日下午的HITB Singapore 2021安全大会上,阿里云安全团队公开了Java安全方面最新的研究成果,并以《Make JDBC Attacks Brilliant Again》作为主题,分享以Java Database Connectivity (JDBC)为攻击面的研究内容:
- 重新分析JDBC定义,并回顾在JDBC攻击面上出现的历史问题,包括MySQL JDBC 任意文件读取,MySQL JDBC反序列化远程命令执行
- 深入的分析了已知的攻击案例原理,例如H2 database等
- 本次分享的重点,介绍了如何利用JDBC攻击面对不同数据库环境进行攻击(包括IBM DB2、SQLite、Apache Derby等),并首次公开了相关0day的利用细节
Java作为一门较为成熟的编程语言,广泛应用于企业级Web应用开发和移动应用开发,具有非常完善的生态,是目前互联网企业通用性编程语言,而JDBC是Java语言操作数据库的通用技术,应用非常广泛,这也导致发生在JDBC层面的攻击会产生更剧烈的影响,尤其像在主流的中间件、云计算环境下JDBC往往容易被攻击者控制。
本次阿里云安全团队在行业顶会上正式发表的实践成果,展示了阿里云云安全团队在攻防领域的深入研究。
阿里云作为云安全技术领域深度实践者和推动者,一直有着深入探索。
据Forrester Research Acunetix最新发布的《Acunetix应用程序漏洞研究报告2021》,与2020年相比,2021年的一些高中严重漏洞现在更为普遍,其中包括一些严重的安全风险,这些风险可能会导致敏感信息丢失。
阿里云安全团队一直在通过自己的技术能力提升和完善企业风控生态安全。本次参会分享前,已将JDBC Attack具体漏洞细节已提前同步给相应的厂商,此前曾帮助并配合openAM,Oracle,Zstack等国际IT企业完成漏洞修复,并多次获得国家信息安全漏洞共享平台(CNVD)授予的年度漏洞保送贡献单位、最具价值漏洞等表彰称号。
