360補天白帽技術分享:保護企業數據安全需加強漏洞監測
- 發佈時間:2016-05-30 09:40:46 來源:中國廣播網 責任編輯:張潔欣
日前,360補天漏洞響應平臺在京舉辦了“補天白帽技術沙龍”活動。此次活動邀請到了多位專注于網路安全的“白帽子們”于現場分享技術、交流經驗。
安全盒子團隊SecBox Team的創始人王松_Striker從駭客的視角解讀了SSRF(服務端請求偽造)。他認為,在當前的資訊安全領域,安全人員的大部分注意力仍然集中于如何防範那些來自網路外部的惡意攻擊,卻忽略了駭客攻擊的核心目標是竊取企業數據,對此他重點講解了內網滲透中“進擊的巨人”——SSRF是如何危害企業網路的安全問題。
“對於SSRF漏洞,沒有一種完美的産品或者方法能夠預防,還是要加強員工和開發人員的安全意識,普及安全,了解安全。”王松説。
對於如何更好的保護企業數據,他表示:“保護企業數據安全首先要加強對系統漏洞的監測,對發現的安全問題及時進行修復。其次就是從根源進行保密,將數據進行加密保存,使用可靠的防火牆,對攻擊進行攔截。”
奇虎360高級安全工程師Mickey則分享了如何利用逆向思維和駭客工具進行本地提權,以及怎樣進行網路資訊收集、過濾與甄別“low hanging fruit”和如何從不入域的Linux主機到內網域控的高級滲透技巧等內容。
本次活動方補天漏洞響應平臺的負責人白健介紹,補天平臺作為白帽子和廠商之間的公益性平臺,目的是實現廠商與白帽子之間的共贏。今後將會通過這種形式,給白帽子提供更多的交流機會。“我們已經開始籌劃下一期上海站的沙龍了”,白健告訴記者。
補天漏洞響應平臺是現金獎勵漏洞平臺,專門處理第三方web應用漏洞等安全問題,目前註冊白帽20000余人。補天漏洞表示,希望通過付費收集漏洞的方式,來收集並且推動開發商與安全廠商的升級,進而加速漏洞的修復,降低漏洞帶來的風險,最終達到提升網站安全的目的。
