11月16日,WitAwards颁奖典礼在上海举办,由字节跳动无恒实验室自主研发的appshark获得2022年度最佳安全开源项目。
appshark 是用于漏洞及隐私合规风险的自动化检测工具,无恒实验室选择将appshark引擎开源,成为一个公共的工具,希望吸引更多业界专家参与打磨,为企业及白帽子做 App 风险检测提供便利。
本次WitAwards 2022颁奖典礼与CIS2022网络安全创新大会主论坛同期举办,同时无恒实验室的安全研究员白振轩也受邀在CIS2022主论坛发表了题为《Hack Demo:appshark在安全合规中的应用》的演讲。
白振轩在演讲中详细地介绍了appshark的原理,appshark 除了可以实现行业普遍应用的数据流分析,还将指针分析与数据流分析融合,因而漏洞建模上更精准,规则更灵活,在误报率和漏报率方面有了比较大的改进。
振轩通过真实案例来讲解如何使用appshark,并针对指针指向关系表和数据流向关系表进行了规则撰写的分享。随后向与会观众展示了利用appshark引擎挖掘AOSP中Intent Redirection漏洞的实际案例,这两个高危漏洞也被谷歌授予CVE。关于这两个漏洞的发现细节,感兴趣的朋友欢迎观看本篇文章:AOSP Bug Hunting with appshark (1): Intent Redirection
在演讲最后,振轩指出appshark 不仅可以作为公司内部的 Android App 的自动化检测工具,辅助企业发现 App 的安全漏洞以及隐私合规风险,也可以作为白帽子日常 App 漏洞挖掘的助手,提高漏洞挖掘的效率及产出。同时appshark的输出结果也非常适合程序处理,更加灵活的规则撰写、可扩展性,希望大家一起来建设使用appshark。
git开源项目地址:http://github.com/bytedance/appshark
互联网技术的高速迭代更新,开源社区也提供了很大的支撑作用。在网络安全行业中,安全开源项目更是为安全产业发展提供了良好的协作环境,让安全同行避免重复造轮子,降低研发成本,助力安全技术创新发展,走的更快更远。同时越来越多的参与者参与到安全开源项目的试用与测试中,让开源项目也变得更加完善。两者相辅相成,为我国的网络安全产业带来极大的福祉。
无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室,致力于为字节跳动旗下产品与业务保驾护航。亦极为重视开源软件与系统对业务安全的影响,在检测公司引入的开源框架和系统的同时,无恒实验室也着力于构建第三方框架和组件的漏洞缓解机制,并将持续与业界共享研究成果,协助企业业务避免遭受安全风险,亦望能与业内同行共同合作,为网络安全行业的发展做出贡献。
发表评论
您还未登录,请先登录。
登录