Black Hat作为被公认为世界信息安全行业的最高盛会,每年分别在美国、欧洲和亚洲各举办一次,大会聚焦先进安全研究、发展和趋势,并以其强技术性、前沿性和权威性来引领未来安全思想和技术的走向。
其中Black Hat USA作为最具规模性和权威性的本场,在全球黑客心中几乎是等同于“奥斯卡“一样的存在。
今年,网络尖刀成员离兮,将站在Black Hat USA 2023的舞台分享他研究的新技术。
资深安全工程师,2015年还在读大二的他加入了网络尖刀,2017工作后他先后负责漏洞扫描、自动化安全测试和中间件安全。近几年他研究的领域包括应用安全、移动安全和漏洞利用。他曾因提交高危漏洞被阿里、蚂蚁、腾讯等国内厂商和Microsoft、AT&T、mail.ru等国际知名厂商致谢。
Black Hat USA 2023 分享:
《Low-level RASP: Protecting Applications Implemented in High-level Programming Languages》
近几年,RASP是一个热门的安全防御方向,这是因为它在FastJSON、Log4Shell等漏洞应急响应中确实很有效。
然而,RASP有一些由于技术方案限制无法低成本解决的问题,比如同层攻防对抗问题(攻击者可以做防御者能做的任何操作)、性能问题(对应用有较大的性能影响)和多语言环境问题(通常只支持单一编程语言)。
离兮研发了一套更底层的技术方案解决了这些问题。
Low-level RASP技术能以很低的成本(大约300行左右的工作量)支持一种新的编程语言,目前测试过的有Java、Node、PHP、Python和Ruby等。
它具备HIPS级别的拦截能力,又具备RASP最核心的获取上下文的能力,可以让防御者比攻击者有更天然的优势,另一方面 它有相当出色的性能表现。
更多细节,我们会在8月会议结束后公开。
敬请期待吧~
关于网络尖刀
网络尖刀团队成立于2008年11月,是一支专注于信息安全技术和人工智能的团队。曾用名“迈C工作室”于2012年1月正式更名网络尖刀,网络尖刀团队由人工智能团队(AiDeep)、信息安全团队(1AQ Team)、媒体运营团队(知娱)、商业情报团队(知舆)、用研与增长团队五部分组成。
安全团队核心成员大多来自腾讯、阿里、蚂蚁金服、银联、360、平安科技、绿盟、紫豹科技、长亭科技、青藤云安全、梆梆安全、慢雾科技、知道创宇等互联网厂商的安全人员及技术人员,同时包含一部分互联网信息安全自由职业者亦或者来自学校的学生。
自成立以来与百度、腾讯、阿里巴巴、360、蚂蚁金服、微软、Apple、AT&T、PayPal、Twitch、Netflix、Uber、HackerOne、滴滴、美团、补天、Seebug、慢雾区、唯品会、平安集团、新浪、网易、金山、爱奇艺、陌陌、完美世界等国内外互联网厂商建立友好合作关系,成员因报告有价值的安全问题而获得厂商致谢八百余次,截至目前网络尖刀团队成员互联网累计漏洞提交总数已超越150000+。
网络尖刀安全团队的是核心价值是:致力于网络安全、应用安全与WEB安全领域的研究探索,帮助广大站长、厂商、企事业单位、政务机关等用户应对变化多端的互联网安全威胁。
团队官网
http://www.1aq.com/
(WEB查看效果更佳)
点击【阅读原文】了解网络尖刀团队成员动态
原文始发于微信公众号(网络尖刀):网络尖刀成员离兮,参加Black Hat USA 2023并分享安全研究成果
