PPT下载链接: http://pan.baidu.com/s/1kUU9wI7
密码: wxo9
沙龙回顾
2017年7月29日,由唯品会信息安全部举办的“因唯安全,所以信赖”VSRC城市沙龙第一站,在广州成功举办。
VSRC秉承给大家带来一个“开放分享,深度交流”的沙龙平台,本次沙龙邀请了6位来自信息安全行业不同研究方向的安全研究人员,围绕“RASP技术介绍、浏览器1day攻防与检测、Docker安全:从入门到实战、基于linux的嵌入式设备漏洞自动化分析、一分钱也是钱、浏览器地址栏欺骗漏洞挖掘”6大议题,分享了各自在信息安全方面独到的见解,与现场参会小伙伴进行了深度交流。
RASP技术介绍
分享者:feng
唯品会资深信息安全工程师,熟悉企业应用安全,目前关注企业架构安全。
来自唯品会的Feng通过生动的案例,深入浅出的分享了RASP技术。Feng分享到,Gartner在2014年的应用安全报告里将 RASP 列为应用安全领域的关键趋势。RASP是一种实时应用的自我保护,并且RASP运行在应用程序的内部,它的安全保护控制点通常放在应用程序和其他系统的交互连接点上,包括和用户、数据库、网络以及文件系统的连接点,从而,实时监测并拦截漏洞攻击。
RASP 的亮点在于“自我保护”,能够在运行时结合上下文采取相应的保护方案。RASP不仅可以分析应用程序的行为,也可以结合上下文对行为进行分析,而且能够通过持续不断的分析,实现实时的发现攻击行为,一旦发现攻击行为也可以第一时间进行响应和处理。
RASP的应用场景也较多,可应用在 Web 应用程序和非 Web 应用程序内,对应用程序的代码设计没有任何影响,不需要修改任何代码,只需要简单的配置就可以将安全保护功能在服务器程序在运行时注入。
最后Feng总结了以下RASP的优点,主要包括对应用开发来说无感知、漏洞发现准确率高、实时发现与阻断、应用场景多、推广容易等,缺点主要有对性能会产生5%-10%的影响、开发难度高、要不断运营规则等问题。
浏览器1 day 攻防与检测
分享者:LCatro
昊天实验室安全研究员
二进制漏洞挖掘与研究
Google & Microsoft BUG Hunter
LCatro认为在浏览器1day攻击域防御下,常见的攻击方式主要包括钓鱼攻击,网页挂马,XSS以及WIFI劫持,其中很多APT攻击都来源于钓鱼攻击,浏览器插件里面也有很多可以getshell的漏洞, LCatro在漏洞利用方式则着重分享了几个典型的代码执行示例,并且LCatro认为,在黑产眼里,其实更注重的是一个利益的问题,他们会比较关心钓鱼,挂马,广告流量背后的利益链等问题,在厂商眼里产品肯定是越安全越好,他们关注点就在产品的安全性与用户口碑上。
Docker安全:从入门到实战
分享者:tuhao
在某游戏公司搞运维+安全。对Linux运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。
tuhao认为,Docker存在的意义主要是简单可配置,并且可通过修改定制容器配置,来有效的确保容器的安全性。
通常在开发中,会有一个迭代的过程,而使用Docker则可实现快速迭代和变更,通过快速的配置进而提高开发效率,同时还可以做好安全隔离,例如可以做到webserver和数据库应用的完全隔离等。
还通过比对服务器与Docker,认为两者之间至少存在以下三大区别;
对库依赖的区别——服务器通常是单独自己一套系统内核,而容器则是共享内核;
性能损耗的区别——容器不需要安装iso系统,比较轻量,跑的操作系统少对系统的损耗少;
安全性的区别——因为VM有单独系统内核但是容器是动态内核,而又因为Docker的服务器内核是共享的,若某个容器被攻击者通过内核漏洞攻击成功了,那么将可能导致整个系统内核都沦陷,所以Docker天生的安全性会比较差。并且他还提到说docker安全问题具体的也包括在RUN环节构建镜像的过程中,若传输采用的非加密,那么则可能带来数据被篡改的风险,一旦执行一个未隔离的应用或网段,则可能带来整个流量或者网段沦陷成为肉鸡的可能性。
他在Docker攻击案例中讲到,一旦满足以下三个条件:Docker remote api无认证且对外开放、使用root用户启动docker、允许对宿主任意磁盘/目录进行读写后,那么攻击者将很有可能完成一次成功的Docker remote api漏洞攻击。
在Docker安全基线方面,他也从以下六个级别进行了详细的分享:
在内核级别,容器的root权限可以通过设置不要等同于宿主机的root权限等;
在主机级别,每个容器需创建独立分区;
在网络级别,也需要注意禁止在容器上使用主机网络模式,否则容易导致容器网卡和物理网卡打通等风险;
在镜像级别,使用可信镜像文件,并通过安全通道下载等方式控制镜像的安全来源;
在容器级别,可以通过配置实现例如禁止在容器上运行ssh服务注意点,
其次是些周边需要注意的事项包括收集日志最小权限和定期审计等。
最后他认为,Docker安全防御体系构建,可以从Docker安全标准化展开,以文档加自动化工具的方式提供给使用Docker的业务方和不同部门去使用。
基于linux的嵌入式设备漏洞自动化动态分析
分享者:峙酿edwardz
信息安全博士,信息安全领域发表多篇国际学术论文,多个专利。研究领域包括:二进制分析、物联网安全和后量子密码。有多年信息安全研究和服务经验,兼职CTF教练。
峙酿认为在基于linux的嵌入式设备漏洞自动化分析方面,目前主要存在的问题有大固件无法仿真,并且大多都是利用已知的payload,以及大规模与精细化的取舍问题。关于自动化漏洞挖掘。
他分享道,自己一般会先自定义一个漏洞,并且以恶意代码执行为例进行了详细展开。峙酿认为二进制漏洞其实有很多种类型,我们这里关心的是样本值,虽然普通的方式通过不断穷举之后也有可能找到漏洞,但是我们的研究目的是通过自动化的分析和尝试,取代无限制的尝试,最终降低生成payload的成本。
一分钱也是钱
分享者:种田
安全爱好者
种田以一个研发没有对0.01元进行校验的案例展开,从而讲述如何成功获取一笔额外收入,当然最后结果是提交给了某SRC,紧接着是1元钱逻辑漏洞的案例,他在此分享的打折计算案例中提到,研发通常的逻辑思维是直接获取用户提交的初始数值,程序再将打折比例返回给到客户端,并且研发期待用户会将打折比例和金额一起,再次提交上来,但是却没有想到在返回过程中打折值其实存在被修改的风险,他认为针对这个问题的修复方案可以是取后台传过来的值,不要使用从客户端传递过来的值,最后种田还分析了一次利用充值送积分的活动,也是通过系统判断上的一次逻辑漏洞进而获取多次赠送的积分的生动案例。
浏览器地址栏欺骗漏洞挖掘
分享者:gnehsoah
昊天实验室安全研究员,浏览器安全研究
最后gnehsoah给我们带来了在浏览器地址栏欺骗漏洞挖掘的议题分享,gnehsoah提到在地址栏焦点欺骗中,当地址栏取得焦点时,域名地址不是从第一个字符开始显示,因此可通过取得地址栏焦点,并跳转到构造的地址,进行地址栏欺骗。他还分享了CVE-2016-2822利用自定义的下拉菜单来进行UI欺骗以及CVE-2017-5016、CVE-2017-5065、CVE-2017-5079以及CVE-2017-5083利用表单的验证气泡可出现在其他tab上进行UI欺骗。最后,通过分享几个小trick,例如我们可以通过issue ID来提前看查看漏洞细节等实用小技巧带给了大家一场意犹未尽的分享。
PPT下载
最后,VSRC也为没有能去现场的朋友们,准备好了演讲议题PPT:
链接: http://pan.baidu.com/s/1kUU9wI7
密码: wxo9
【提取码7天有效,大家速度噢!】
因唯安全,所以信赖
VSRC,与您一路同行!
活动发布、推广及现场报道请联系安全客 duping@360.cn
发表评论
您还未登录,请先登录。
登录