2017年7月22-27日,全球瞩目的Black Hat 2017在美国拉斯维加斯盛大举行,作为信息安全领域的顶级盛事,从黑客大咖到全球顶尖安全企业都将使出他们的浑身解数,来展示最新的技术研究成果。所以,每年Black Hat都会带来许多闻所未闻的安全攻防技术。值得关注的是,在Black Hat2015上因分享 “新型SQL注入检测与防御引擎SQLChop”而获得全球安全专家一致认可的新锐安全企业长亭科技,再次现身Black Hat2017分享其最新技术发现成果,接下来让我们一探究竟。
据悉,今年长亭科技的议题选用一个具有中国文化含义的表达——many birds one stone,“一石多鸟:利用单个SQLite漏洞破解多个软件”,是一个与SQL内存破坏漏洞相关的话题。
图1:通过80%筛选率,长亭科技技术议题入选BlackHat
图2:长亭科技中选议题及内容
SQLite作为嵌入式Database软件,广泛用于应用软件中的本地/客户端存储,如Web浏览器和APP移动应用程序。SQLite中的内存损坏错误通常不被视为安全问题,因为人们认为它不可能被利用。长亭安全研究实验室经过一段时间的研究发现,利用SQL的另一种攻击思路——基于内存破坏的SQL攻击,并经过四个维度验证:基于SQL内存破坏漏洞攻击,危害非常大!
基于SQL内存破坏漏洞进行攻击,可能造成:单一漏洞可以同时破解掉最常见的Safari、Chrome、Opera等浏览器,以及,你手机上最常出现的多种APP。这些攻击可以造成大范围的用户信息泄露,不仅局限于网站上填写的姓名电话等用户基础信息,更包括了支付软件中的银行卡等敏感信息,一旦被意图不轨者掌握并利用,后果非常严重。针对应用层的攻击频次连年增长,攻击方式更加多元,而越来越多企业的业务又依靠互联网来实现,防止应用层安全失守成为企业不可回避的问题。
今年3月,长亭安全研究实验室在Pwn2Own比赛上首次使用了这种技巧,并在Black Hat USA 2017大会上将技术公开分享,以实际的内存损坏案例展示攻击危险。长亭科技的这个研究发现,为企业的安全防护提供了新思路,及时避免黑客攻击造成的损失。目前,长亭已经将相关漏洞提供给了对应厂商,均已及时得到修复。
两年前的Black Hat2015大会上,长亭科技就曾受邀Black Hat分享SQL注入攻击的相关研究发现——“无规则SQL注入攻击检测与防御引擎”;除了演讲,长亭科技还将技术研究成果送上了Blackhat的展示舞台军械库。ARSRNAL上曾出现过不少优秀的工具,有一些很多年前的工具甚至在现在仍然无法被超越,而这个获得全球顶级技术专家一致认可的研究成果,正是长亭雷池(SafeLine)下一代Web应用防火墙的技术雏形。
图3:想体验这款SQLChop进阶版,请移步https://sqlchop.chaitin.cn
此外,还需要提及的是,在Black Hat 2017上长亭科技两人获得Pwnie Awards两个奖项提名。公开资料显示有白帽黑客奥斯卡之称的Pwnie Awards奖是BlackHat上的保留节目,专为有重大和突出研究成果的信息安全工作者设立,对于全球范围内的信息安全工作者来说,获得Pwnie Awards奖提名是其职业生涯中极为荣耀的一刻。
图5:长亭科技两人获得Pwine Awards两大奖项提名
被提名和得奖都是全球安全业界最高级别荣誉的象征,这也意味着长亭科技的两位被提名者的研究成果不仅要有实实在在的影响力,并且还要具备前瞻性,能够为安全行业的未来发展产生深入影响。