日前阿里云安全团队受邀参加欧洲顶级信息安全会议HACK IN THE BOX(HITB),并以《Make JDBC Attack Brilliant Again 》为主题发表演讲。
HACK IN THE BOX(HITB)作为国际公认的最具影响力的信息安全会议,目前已成为全球十大安全峰会之一,也是欧洲规模最大、水平最高的信息安全会议,吸引了来自全球顶尖的安全技术专家、科研学术人员和企业代表参会,会议就信息安全最新研究动向、安全技术创新成果与公共安全漏洞分析等方面进行交流与讨论,所有参会的内容都需经过投稿与公开评选等程序,其演讲议题录用比例低于10%,深受信息安全相关领域的学者与从业人员的欢迎。
演讲视频地址:https://conference.hitb.org/hitbsecconf2021sin/livestream/
8月26日下午的HITB Singapore 2021安全大会上,阿里云安全团队公开了Java安全方面最新的研究成果,并以《Make JDBC Attacks Brilliant Again》作为主题,分享以Java Database Connectivity (JDBC)为攻击面的研究内容:
- 重新分析JDBC定义,并回顾在JDBC攻击面上出现的历史问题,包括MySQL JDBC 任意文件读取,MySQL JDBC反序列化远程命令执行
- 深入的分析了已知的攻击案例原理,例如H2 database等
- 本次分享的重点,介绍了如何利用JDBC攻击面对不同数据库环境进行攻击(包括IBM DB2、SQLite、Apache Derby等),并首次公开了相关0day的利用细节
Java作为一门较为成熟的编程语言,广泛应用于企业级Web应用开发和移动应用开发,具有非常完善的生态,是目前互联网企业通用性编程语言,而JDBC是Java语言操作数据库的通用技术,应用非常广泛,这也导致发生在JDBC层面的攻击会产生更剧烈的影响,尤其像在主流的中间件、云计算环境下JDBC往往容易被攻击者控制。
本次阿里云安全团队在行业顶会上正式发表的实践成果,展示了阿里云云安全团队在攻防领域的深入研究。
阿里云作为云安全技术领域深度实践者和推动者,一直有着深入探索。
据Forrester Research Acunetix最新发布的《Acunetix应用程序漏洞研究报告2021》,与2020年相比,2021年的一些高中严重漏洞现在更为普遍,其中包括一些严重的安全风险,这些风险可能会导致敏感信息丢失。
阿里云安全团队一直在通过自己的技术能力提升和完善企业风控生态安全。本次参会分享前,已将JDBC Attack具体漏洞细节已提前同步给相应的厂商,此前曾帮助并配合openAM,Oracle,Zstack等国际IT企业完成漏洞修复,并多次获得国家信息安全漏洞共享平台(CNVD)授予的年度漏洞保送贡献单位、最具价值漏洞等表彰称号。
阿里云安全
国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。
2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。
阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。
作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。
