绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城金币兑换
11月8日,为期两天的2020“天府杯”国际网络安全大赛落下帷幕。本次大赛由360集团联合多家行业顶尖单位共同主办, 来自多家海内外知名公司及机构的20余支队伍、近百位技术白帽齐聚于蓉,展开了一场酣畅淋漓的破解之战。

在产品破解赛上,360政企安全联队(360政企安全漏洞研究院、360落叶知秋、360CDSRC)强势屠榜,一举斩获81.25万美金奖励,所获奖金总数远超其他参赛战队奖金总和,成功领跑天府“摘金”榜单。

360社区

360社区


其中360政企安全漏洞研究院凭借攻破Chrome、Firefox、VMWare ESXi、SamsungGalaxy S20、CentOS 8、KVM-qemu、Adobe PDF Reader、iPhone11pro、TPlink项目,摘得2020天府杯“最佳产品破解奖一等奖”的重磅殊荣。另外两支战队同样表现不俗,360落叶知秋团队成功攻破Samsung Galaxy S20项目,360CDSRC则实现了Adobe PDF Reader项目的破解。

这是360安全团队继2018、2019两年蝉联“天府杯”冠军后,再度问鼎天府杯冠军之席,毫无疑问地证明了360强势领跑全球的漏洞研究及挖掘能力。

360社区

360社区



尖峰较量

360政企安全漏洞研究院达成多个“全球首破”


历经三载,天府杯国际破解大赛不断提升赛事规格,致力于打造一场具有中国特色的网络安全技术盛宴,赶超国际黑客大赛“Pwn2Own”。本次大赛特设了100万美元奖金,其中90%奖金用于产品破解赛,单项最高奖金高达18万美元,足见其重量。

另外,组委会结合世界知名黑客大赛战况,精心遴选了难度大、漏洞影响范围广、对我国安全环境有重大影响、体现网络安全发展趋势的赛题,涵盖PC端、移动端、服务器端、IOT设备等在内的多个破解题目。

回顾整场战况,堪称神仙打架。开赛首个项目是Chrome,众所周知桌面版Chrome浏览器市场占有率高达70%,目前微软的Edge浏览器也采用了Chromium内核。破解赛上,360政企安全漏洞研究院使用了2个0day漏洞,成功突破Chrome沙箱保护,实现了远程在目标机器上执行任意代码的效果,一举摘得10万美元首金。这也是继2015年后,Google Chrome全球首度被破解。

随后,在Firefox浏览器项目上,360政企安全漏洞研究院同样利用0day漏洞对其进行突破,成功控制系统,整个过程仅有6秒!打破了Mozilla Firefox自2018年未被攻破的记录。

在针对虚拟化届翘楚——VMware的破解项目上,360政企安全漏洞研究院的选手利用用户态程序的UAF漏洞,实现代码执行,再通过一个内核漏洞,获得内核级别的代码执行,最终得到系统最高权限。作为全场奖金最高的项目,VMWare ESXi的破解难度系数极高,另外,由于市面上云主机、虚拟主机大多由VMWare ESXi搭建而成,一旦被攻破,波及范围广泛、造成后果严重。

在第二天的破解赛上,360政企安全漏洞研究院针对iPhone 11pro系统进行了破解,利用0day漏洞在系统进程里实现代码执行,从而实现窃取用户手机相册、通讯录等敏感信息。这是继iPhone“祭出”超强缓解机制后,国内外首次破解,且用时仅有10秒!

360社区

360社区


另外两支来自360政企安全集团的团队也一路高歌猛进,在针对Samsung Galaxy S20破解项目上,落叶知秋团队利用0day漏洞成功攻破系统。在Adobe PDF Reader项目上,360CDSRC团队利用0day漏洞对Adobe PDF Reader进行攻击,完成了RCE和沙箱逃逸,实现了对系统的控制。


真刀实枪

中国版Pwn2Own锻造本土网络安全品牌


在“天府杯”国际网络安全大赛暨2020天府国际网络安全高峰论坛闭幕式上,本次大赛裁判代表、360集团首席安全技术官&首席技术官郑文彬在演讲中提到,天府杯破解大赛的核心目标是为安全研究人员提供一个接近实战的平台,同时让国际、国内有极大影响力的厂商发现自身安全漏洞,提高产品安全性。

360社区

360社区

大赛裁判代表、360集团首席安全技术官&首席技术官郑文彬


据悉,在“天府杯”为期两天的产品破解赛中,一共设置了16个目标项目,收获了34个0day漏洞。这些漏洞已向相关厂商提交,参赛战队也将协助谷歌、苹果、VMware等巨头公司针对比赛中被攻破的产品尽快发布补丁修复安全漏洞。

现场郑文彬也分享了几个有意思的漏洞,比如Docker、QEMU以及Esxi项目,都是在云端对应用进行隔离、虚拟化的目标。在Esxi项目中,攻击者可以通过通用设备攻破虚拟化的“叹息之璧”,接着利用沙箱的漏洞控制host系统。面对这种攻击方式,企业隔离防护应用必然会受到影响。另一个全球首破项目——Docker也在轻量化容器的应用面前摆出一道实际安全威胁。

无疑,数字时代全球网络空间正面临前所未有的漏洞威胁挑战,众多漏洞也成为具备强大威慑力的新型网络武器。想要掌握漏洞资源,必须锤炼我国安全研究团队的能力。此次天府杯破解大赛正是提供了“真刀实枪”的破解环境,为国内外顶尖网络安全技术人才贡献了切磋技术和交流的优质平台,为锻造中国网络安全品牌、整体提升我国网络安全技术技能和实力贡献力量。

作为国内头部安全企业, 360政企安全集团在长期的高阶网络安全实战对抗中掌握了全球领先的高危漏洞捕获能力,此次三度蝉联天府杯冠军之位更证明了其硬核安全实力。面对全面数字化时代下的新安全、新威胁,未来360将持续加强在漏洞安全研究方面的投入和锻造,维护网络空间安全,为国家安全和人民安全打造最坚实的铜墙铁壁。

来源    360政企安全

共 2 个关于三连冠传奇 360多个“全球首破”斩获81.25万美金,三度称霸天府杯,再夺最具...的回复 最后回复于 2020-11-16 13:36

评论

直达楼层

nmuse5998 LV2.下士 发表于 2020-11-15 23:50 | 显示全部楼层 | 私信
先看看怎么样!
nmuse5998 LV2.下士 发表于 2020-11-16 13:36 | 显示全部楼层 | 私信
这个贴不错!!!!!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:175 关注:13 积分:178261

精华:307 金币:190003 经验:144200

最后登录时间:2021-3-6

摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

金币兑换

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表