时间倒退至17年前,一场洋洋洒洒的大雪中看雪论坛成立了,素未谋面的各路人马凭借对安全技术的热爱在这里彼此交流分享。
而17年后,这群一梦为马的人们在帝都初次聚首,举办第一次峰会。以下为看雪开发者峰会中十二个安全议题,雷锋网现场整理。
Flash 之殇 - 漏洞之王 Flash Player 的末路
演讲嘉宾:仙果 看雪论坛二进制漏洞版主,兴华永恒公司CSO。
Flash Player 作为最受欢迎的多媒体软件,一直以来都受到大众的软件,遥想当年的闪客精灵时代,何其风光。而随着 2011年11月 Flash Player 宣布不再支持移动端,并在随后放弃 Linus 平台,以及苹果宣布 iOS 不再支持 Flash Player 成为双重打击。
在得移动者得天下的时代,Flash Player显得尤为落寞。
而在 2015 年 Flash Player 荣登"漏洞之王"的宝座后,Flash 成了"千夫所指"的对象。毕竟 Flash Player 作为插件存在于多个平台,因此一个漏洞的爆出就会影响诸多平台。
本议题就以Flash player为题,通过 Flash Player 漏洞利用史展现了 Flash 漏洞利用技术和攻防对抗技巧。
举例来说,2015 年 7 月,adboe 针对 vector 对象引入了 cookie 和 length 检测机制,使得 vector 的利用方式被封堵。
2015 年 12 月加入了隔离堆机制,对一些比较容易出问题的对象进行堆隔离,又引入了 ByteArray 对象的长度 cookie 检测。
2016 年 3 月 引入了针对 MMGC(unmanaged memory)内存的 System Heap 机制,使用系统的分配函数替代了 flash GC的分配函数,使内存更加随机,难以预测。
2016 年 6 月 引入 Memory Protector 机制,有点像延迟释放机制,是用来缓解 UAF 漏洞的,理论上和微软出的机制差不多,但是 adobe 自己做了一些改变。
浅析WEB安全编程
演讲嘉宾:汤青松 中国婚博会PHP高级工程师、安全顾问。
常见漏洞有哪些?
代码注入、CSRF、0元支付、短信轰炸、密码找回……
汤青松通过对 SQL 注入、XSS 跨站与 CSRF 请求伪造漏洞、越权漏洞以及支付漏洞这几个开发中容易忽略又比较常见的安全问题进行介绍,用以指导在开发中如何避免安全问题的产生。
SQL注入的成因可以理解为使用用户的参数拼接SQL语句,参数改变了原SQL语句的结构。其可分为三种攻击方式,
第一是利用注入漏洞改变页面返回数据,称之为回显注入。
第二是报错注入,在URL加入了一些错误的SQL语句,被执行后返回了异常信息,这些异常信息当中包含了敏感信息,可以通过屏蔽数据库连接错误来防范此问题。
第三是盲注,分为布尔盲注和时间盲注。
那有什么手段可以防范SQL注入呢?这里有三点建议。
拦截带有SQL语法的参数的传入
通过预编译处理拼接参数的SQL语句
定期分析数据库执行日志,是否有异常SQL执行。
XSS 跨站与 CSRF 请求伪造漏洞的成因可能是参数输入未经过安全过滤,恶意脚本被输出到网页,或是用户的浏览器执行恶意脚本。其可分为反射型、存储型、DOOM 型三类,可通过过滤标签、实体转义代码以及设置 httponly 进行防范。
越权漏洞是指业务系统中对用户权限验证不严谨,用户能操作不属于自己权限的操作。汤青松建议前台和后台的查询尽量不要用同一个查询接口,也不要暴露连续ID,比如订单号。
还记得 2014 年,一个天才小学生写代码实现 1 分钱买 2500 元商品的事情吗?
事实上由于开发者在数据包中传递支付金额,后端却没有对金额做校验或者签名,导致攻击者可以随意篡改金额提交的事情比比皆是。汤青松建议商家限制超量购买限量商品,限制低价、免费购买付费商品、限制免费商品获得金钱、积分等。
业务安全发展趋势及对安全研发的挑战议题概要
演讲嘉宾:彭巍 威胁猎人产品总监。
业务安全包括账号安全、内容安全、营销活动安全等,在此之下又各有分支。
如果说业务安全在 2012 年之前还只是以阿里、腾讯及携程等为主的局部战场,近些年随着垂直电商、社交、移动游戏和 O2O 等领域的快速发展,业务安全及反欺诈被更多的视线关注。
但多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长,面对黑产的攻击会一时无措。作为防守方,除了对抗技术外,更要增强对黑产的认知,了解当前在一些业务核心问题上的对抗阶段和思路。
诸如被视为黑产技术飞跃式的发展——秒拨,实际上也是通过三步实现,
匿名代理
批量获取个人ADSL拨号IP
虚拟化ADSL实现海量的IP资源获取
彭巍通过多个黑产案例证明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知,并帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。
Windows 10新子系统*新挑战
演讲嘉宾:陆麟,中国最老的十大黑客之一,Windows系统内核专家。
陆麟分享了他在 Windows 的 Linux 中研发出来的一些成果,即可以直接在 Windows 下直接执行的 Linux,以及一个windows 10的0day漏洞。
智能化的安全: 设备&应用&ICS
演讲嘉宾:王东 启明星辰ADLab西南团队负责人。
物联网热潮和泛在信息化推动了智能设备和智能应用的迅猛发展,同时野蛮式生长也带来了大量的安全漏洞,一旦被利用就会爆发出远超传统信息化逻辑边界的物理性伤害。
比如智能冰箱,温度被恶意操控,食物隐形变坏,伤人;智能汽车,高速熄火,伤人;智慧医疗,精准诊断信息被利用,特别是敏感疾病的治疗信息被他人获得后果更加严重;工业控制,锅炉温控异常炸锅,伤人。
以智能门锁为例,雷锋网曾报道过酒店幽灵五年盗窃全美,竟师从黑客?文中偷变全美的犯罪分子就是利用智能门锁的漏洞轻易打开了各个酒店房间。
王东在议题中首先对 WIFI 和 BLE 两种组网类型的智能门锁进行安全漏洞分析,相比 WIFI,自带光环的 BLE 可实现点对点通信,不需要中间设备,且可以跳屏传输,信道加密,致使抓包麻烦。
那听说现在很多智能门锁都采用“APP+设备+云端”构架?
云端缺陷就更好利用了,只要登录APP,选择一键开门,并编写代码调用GATT接口即可发送开门密码……
而在最后,王东也分享了工业控制系统方面的安全问题,比如弱口令及数据泄露司空见惯……对于厂商来说,头疼的不止是软件漏洞、协议漏洞、操作系统漏洞交织在一起,更因为一旦要修补这些漏洞就需要中断业务。毕竟,这是一件需要多方协调的事情。
移动APP灰色产业案例分析与防范
演讲嘉宾:无名侠 陈愉鑫 移动安全爱好者、看雪会员。
移动互联网时代,互联网业务飞速发展,在这样的大背景下滋润了一条以刷单、倒卖、刷榜、引流、推广为主的灰色产业链。他们以低成本换取了高额的利润,给互联网企业以及用户都带来了巨大的损失。加固技术、风险控制、设备指纹、验证码等技术也都在飞速发展,但实际效果并不能让人满意。
陈愉鑫在此议题中揭露了多个真实案例的技术细节,开发流程,运营流程,并提出一些防护建议,协议安全需要从体系上进行加强。
开启IoT设备的上帝模式
演讲嘉宾:杨经宇(Jingle)就职于腾讯反病毒实验室,从事恶意代码研究工作。
在议题开始时,杨经宇先讲了 IoT 金字塔。
最为底端的是大众眼中的 IoT 即万物互联,在此之上是软件开发人员眼中的 IoT 是一个带有联网功能的嵌入式设备,更上一层安全研究人眼中 IoT 是一个金矿,只要挖就永远有料(漏洞),处于金字塔顶的是why,为什么要 root IoT设备?
可能是为了突破设备限制,增加功能,也可能是为了做进一步的安全研究,甚至利用 root 设备薅羊毛,挖矿……当然这属于黑产所为。
不可否认,如今 IoT 设备大量涌入智能家居领域,IoT 安全和大众的生活息息相关,智能电饭煲、插座、摄像头、电视、扫地机器人......如果智能家居被如电影中的智能汽车一样被远程遥控,后果不堪设想。
在议题中,杨经宇关注 IoT 设备开启上帝模式(即 root 模式)的相关安全问题,在提到 root IoT设备的常见技术手段比如弱密码和 RCE 漏洞外,杨经宇以一个中兴摄像头固件校验漏洞为例,介绍伪造固件绕过固件校验算法进行 root 设备的方法。
另外,杨经宇也分享来获得 root 权限后引发的潜在安全威胁,并提供缓解安全威胁的一些方法,例如固件加密与签名,防火墙等。此外,还分享了两个已提交 CNNVD 的 IoT 设备 root 漏洞。
那些年出现的意料之外的漏洞
演讲嘉宾:邓永凯 绿盟科技 Web 安全研究员。
邓永凯针对开发者在开发编码时最容易产生漏洞以及意料之外的漏洞进行分析,阐述其原因以及应该注意的地方。通过没有防御到防御绕过、错误的防御姿势、错误的使用方法、错误的修复方法、系统及语言自身特性、设计缺陷、二次漏洞、程序员的惰性导致的漏洞等方面进行了实例讲解。
游戏外挂对抗的安全实践
演讲嘉宾:胡和君 腾讯游戏安全高级工程师。
在议题中胡和君以 FPS 类型游戏的自瞄外挂功能的对抗为例,通过对自瞄外挂实现原理的解析,说明了如何使用定制化的技术思想,达到对外挂作弊功能的持续压制。另外议题中还谈及游戏漏洞挖掘的核心思路和方法技巧,游戏开发者自身提升游戏安全性的技术手段,安全防守方定制化方案分析、开发、实现的方法和技巧等内容。
java json 反序列化之殇
廖新喜 绿盟科技网络安全攻防实验室安全研究员。
随着 REST API 的流行,JSON 的使用也越来越多,但其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。
在这次演讲中,廖新喜主要阐述 Java Json 库的反序列化特性导致的RCE。
另外,还将以 Fastjson 举例说明,公布部分未公开的反序列化的payload、0day,并会对这些payload分类解读。
另外,议题涉及 Gson,Jackson 和 Fastjson 这三个最常用的 JSON 序列化库的序列化和反序列的操作,并分析其安全机制,从安全机制上发现其潜在的安全漏洞。
反序列化漏洞出来已有一段时间,前期的一些防御方案随着时间的推移不再有效,但是却广泛传播,廖新喜也在议题中从开发、运维的角度来,给出建议,指出哪些防范方案不再有效,为什么是无效的,并进一步提出正确、可靠的防御方案,以防御此类安全问题。让更多的开发者对Java反序列化漏洞有更加透彻的理解,做好安全编码,做好安全防护,减少被黑客骚扰的机会。
一石多鸟——击溃全线移动平台浏览器
Roysue 看雪iOS版块版主。
浏览器早已成为我们日常生活中不可或缺的一部分,这种攻击可以造成大范围的用户信息泄露,不仅局限于网站上手机上填写的姓名电话、信用卡银行卡等用户基础信息,更包括了我们日常生活中频繁使用的淘宝购物,“扫一扫”、“公众号”、“小程序”、共享单车H5、饿了么H5等等贴近生活的一线App,所有App均不同程度的使用了某种Webview的实现。一旦被意图不轨者掌握并利用,后果非常严重。
针对应用层的攻击频次连年增长,攻击方式更加多元,而越来越多企业的业务又依靠互联网来实现,防止应用层安全失守成为企业不可回避的问题,做好应用层安全也成为厂商和企业不可或缺乃至不可推卸的责任。roysue 在议题中针对应用层的攻击频次连年增长,攻击方式更加多元的现象,提出了相应的策略。
如何黑掉无人机
谢君 阿里安全IoT安全研究团队Leader。
本议题是基于某品牌创新无人机DJI Phantom 4 Pro和DJI Mavic Pro机型上进行的研究,系统的介绍某品牌无人机的架构体系,功能模块,传感器等,包括各个组件的攻击面,安全防护体系,软硬件反调技术及其绕过方法,并深度解读无线宽带通信等。现场会介绍一个不需要通过软件漏洞就能Root无人机的方法,以及如何远程劫持一台无人机。
无人机是一个复杂的系统工程,包括飞控系统、避障测距定位系统、图像采集、无线通信等。
谢君在议题中介绍了某品牌无人机的架构体系、功能模块、传感器等,包括各个组件的攻击面、安全防护体系、软硬件反调技术及其绕过方法,并深度解读无线宽带通信等。
而为什么要 Root 无人机?实际上是为了更方便研究无人机及其他模块。
那怎样 Root?
雷锋网了解到,通常需要通过软件漏洞,执行adb_en.sh脚本来进行,而谢君在现场还介绍一个不需要通过软件漏洞就能Root无人机的方法,即修改start_dji_system.sh脚本“Debug=true”也可以达到root目的。另外,谢君还演示了如何远程劫持一台无人机。
写在最后:
结束从不意味着落幕,而是崭新的起点。
而这群热爱安全技术的人们也将继续砥砺前进。