SyScan360:大腕云集 共话网络安全新势-阿里云开发者社区

开发者社区> boxti> 正文

SyScan360:大腕云集 共话网络安全新势

简介:
+关注继续查看

本文讲的是 :  SyScan360:大腕云集 共话网络安全新势  , 【IT168 资讯】12月17日消息,日前,由亚洲知名安全组织SyScan主办、奇虎360承办的SyScan360前瞻信息安全会议(The Symposium on Security for Asia Network)在京成功召开。自2004年在新加坡首次举办以来,每年都选择在亚洲一线城市举办,迄今为止,已经举办了8次会议。

  SyScan大会邀请世界各地优秀网络黑客及安全专家分享最新的信息安全研究成果,展现亚洲信息安全需求的演进课题,发表最新的国际安全消息。本届在中国举办的SyScan360大会持续两天,吸引了来自世界各地的安全牛人,来自微软、Google、迈克菲、趋势科技等的安全组织的专家分享了当前众多的热点话题。下面让我们来重温SyScan360热点!

SyScan360:大腕云集 共话网络安全趋势
▲SyScan360前瞻信息安全会议现场

  国外黑客详解Windows内核漏洞

  来自国际安全组织COSEINC 高级安全分析员Ben Nagy在主题为《Windows内核Fuzzing入门》的演讲中分享了系统内核缺陷错误挖掘技术以及系统的bug分类。Ben Nagy拥有五年的Windows内核研究以及模糊测试经验,并且非常痴迷Ruby语言。Ben毫无保留地透露了内核模糊测试的秘诀,包括选择正确的目标、必要的知识储备以及各种模糊测试的方法,如切入、生成测试用例以及如何扩展等。

  Ben特别指出,模糊测试需要进行反馈驱动测试、错误注入深度插桩测试以及崩溃样本分析。而优秀的工具链有助于目标的快速重定位,他认为测试者必须了解自己认为有用的漏洞是什么,这样才能寻找到对自己最有用的信息。

  Windows 内核漏洞种类多种多样。Ben将此分为三大类:本地到本地(包括提权、沙盒穿透等)、远程到远程、远程到本地(需要用户操作,通过电子邮件、文档、网页地址等进行攻击)。

  Google漏洞奖励计划经验分享

  来自谷歌安全专家Kevin介绍到,“漏洞奖励计划”是谷歌专门为发现Google软件及产品漏洞发现者而设的奖励计划,漏洞发现者将获得谷歌支付的现金奖励以及其他额外鼓励。谷歌此后还推出Chrome浏览器漏洞奖励计划。这些漏洞奖励计划吸引了全球安全爱好者的关注,也帮谷歌公司大幅提升了产品及服务的安全性。

   “我们不会支付钱去修复漏洞”,Kevin称谷歌漏洞奖励机制不是去买Bugs,而是奖励用户在寻找漏洞时花费的时间。Kevin表示,谷歌漏洞的范围不包含DoS、Corp infrastructure、SEO blackhat以及Acquisitions(if<6 months)的攻击。

  那么究竟什么才是谷歌在寻找的漏洞呢?Kevin详细介绍验证“合格漏洞”的四大步骤:合理的通知,私下的信息披露,适当的测试,第一个提出的、最好的解决。通过验证分析漏洞,谷歌将给予用户相应的奖励。

  Kevin笑称,并不是所有的漏洞报告都由技术人员发来,普通的网民也会参与到寻找漏洞的娱乐的过程中去。据介绍,有用户冒着信用卡被刷爆的风险去寻找谷歌免费电影的漏洞,而谷歌为找个漏洞支付1337美元,希望该用户能够还清信用卡。

  Kevin表示,85.2%的漏洞由新人发现,仅14.8%的漏洞由老用户发现,而且是前20%的人发现了80%的漏洞。但谷歌漏洞奖励机制也面临一些挑战。Kevin表示,谷歌经常会接到一些劣质报告,需要处理枯燥的文字,为分类和管理消耗大量的资源,而且一些人不喜欢为金钱而找Bug,或是有人希望用非Bug来取得奖金,这让谷歌漏洞奖励机制受到部分人的质疑。



原文发布时间为:2015年7月6日

本文作者:kaduo

本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT1684

原文标题 :SyScan360:大腕云集 共话网络安全新势

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9496 0
美高官称云计算成为网络安全战前线
本文讲的是美高官称云计算成为网络安全战前线,据国外媒体报道,美国联邦检察官办公室负责计算机黑客和知识产权的马修?帕勒拉(Matthew Parrella)表示,云计算已经成为网络安全战的前线。
900 0
阿里云多账号管控与网络安全集中化管理能力升级发布
助力企业上云过程中的多账号管控和网络安全管理。
153 0
云安全趋势下脚踏实地力拼网络危胁
本文讲的是云安全趋势下脚踏实地力拼网络危胁,云计算和云安全继续推动着数据和在线应用程序的发展,对传统的网络安全外围是一种革命性的推动。而企业用户都需要用一些崭新的移动设备通过无线网络访问数据。一些有创造性的攻击者们时时刻刻都在发明新的方法从企业窃取数据,以便于在黑市上销售。
861 0
IBM推出全新云安全产品 全面保护网络
  近日,IBM公司宣布推出新的服务、硬件与软件,旨在提高云计算环境的安全性,确保数据的保密性,以及防范针对应用程序的攻击。   IBM的X-Force安全研究团队的最新研究结果显示,全球犯罪组织正以惊人的速度开发新的攻击技术。
1015 0
云MongoDB网络安全策略和权限管理体系
阿里云MongoDB在市场上实际使用时,如何保障数据库安全性?又是如何防止数据库受到攻击?本文将带领你了解云数据库MongoDB云环境的网络安全策略和MongoDB自身的权限管理体系。
2557 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13184 0
429首都网络安全日 | 阿里云整体安全能力亮相
阿里云为云上企业用户提供覆盖6大核心领域,61个能力项的整体安全解决方案。
773 0
+关注
boxti
12535
10037
文章
1327
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载