开发者社区> -开发者助手-> 正文

HIBT全球安全顶会|阿里云安全最新Java研究分享

简介: 日前阿里云安全团队受邀参加欧洲顶级信息安全会议HACK IN THE BOX(HITB),并以《Make JDBC Attack Brilliant Again 》为主题发表演讲。
+关注继续查看

日前阿里云安全团队受邀参加欧洲顶级信息安全会议HACK IN THE BOX(HITB),并以《Make JDBC Attack Brilliant Again 》为主题发表演讲。


HACK IN THE BOX(HITB)作为国际公认的最具影响力的信息安全会议,目前已成为全球十大安全峰会之一,也是欧洲规模最大、水平最高的信息安全会议,吸引了来自全球顶尖的安全技术专家、科研学术人员和企业代表参会,会议就信息安全最新研究动向、安全技术创新成果与公共安全漏洞分析等方面进行交流与讨论,所有参会的内容都需经过投稿与公开评选等程序,其演讲议题录用比例低于10%,深受信息安全相关领域的学者与从业人员的欢迎。


演讲视频地址:https://conference.hitb.org/hitbsecconf2021sin/livestream/


8月26日下午的HITB Singapore 2021安全大会上,阿里云安全团队公开了Java安全方面最新的研究成果,并以《Make JDBC Attacks Brilliant Again》作为主题,分享以Java Database Connectivity (JDBC)为攻击面的研究内容:


  1. 重新分析JDBC定义,并回顾在JDBC攻击面上出现的历史问题,包括MySQL JDBC 任意文件读取,MySQL JDBC反序列化远程命令执行

  2. 深入的分析了已知的攻击案例原理,例如H2 database等

  3. 本次分享的重点,介绍了如何利用JDBC攻击面对不同数据库环境进行攻击(包括IBM DB2、SQLite、Apache Derby等),并首次公开了相关0day的利用细节


Java作为一门较为成熟的编程语言,广泛应用于企业级Web应用开发和移动应用开发,具有非常完善的生态,是目前互联网企业通用性编程语言,而JDBC是Java语言操作数据库的通用技术,应用非常广泛,这也导致发生在JDBC层面的攻击会产生更剧烈的影响,尤其像在主流的中间件、云计算环境下JDBC往往容易被攻击者控制。


本次阿里云安全团队在行业顶会上正式发表的实践成果,展示了阿里云云安全团队在攻防领域的深入研究。


阿里云作为云安全技术领域深度实践者和推动者,一直有着深入探索。


据Forrester Research Acunetix最新发布的《Acunetix应用程序漏洞研究报告2021》,与2020年相比,2021年的一些高中严重漏洞现在更为普遍,其中包括一些严重的安全风险,这些风险可能会导致敏感信息丢失


阿里云安全团队一直在通过自己的技术能力提升和完善企业风控生态安全。本次参会分享前,已将JDBC Attack具体漏洞细节已提前同步给相应的厂商,此前曾帮助并配合openAM,Oracle,Zstack等国际IT企业完成漏洞修复,并多次获得国家信息安全漏洞共享平台(CNVD)授予的年度漏洞保送贡献单位最具价值漏洞等表彰称号。


  阿里云安全  


国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
好程序员Java学习资源分享RabbitMQ介绍
好程序员Java学习资源分享RabbitMQ介绍,前言,RabbitMQ是基于AMQP协议(Advanced Message Queue Protocol)的消息中间件什么是消息队列消息队列属于进程间通信的一种方式,使用消息队列可以通过异步方式处理数据,借此可以提高系统性能。
994 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29138 0
分享非常有用的Java程序 (关键代码) (一)
原文: 分享非常有用的Java程序 (关键代码) (一)    分享一些非常有用的Java程序 (关键代码) ,希望对你有所帮助。
739 0
JAVA视频资料百度网盘分享
原文链接地址:http://www.cnblogs.com/strivers/p/7581406.html 1、javascript视频教程 链接: http://pan.baidu.
5668 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20693 0
2449
文章
0
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
相关文档: 密钥管理服务 访问控制 操作审计
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载