压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

10月17日，為期兩天的“天府杯”國際網(wǎng)絡(luò)安全大賽落下帷幕，近百位技術(shù)白帽齊聚于蓉，展開一場酣暢淋漓的破解之戰(zhàn)。360漏洞研究院青訓(xùn)隊(duì)?wèi){借攻破Chrome、微軟Exchange Server 2019、iphone?13 Pro、Ubuntu 20/CentOS8、Adobe?PDF reader、Prarllels Desktop六大項(xiàng)目，一舉斬獲39萬美元獎金，獲得2021“天府杯”（第四屆）國際網(wǎng)絡(luò)安全大賽第三名。

?

首日開場，360漏洞研究院青訓(xùn)隊(duì)率先利用2枚0day漏洞攻破Chrome項(xiàng)目，奪得15萬美元大賽獎金。在漏洞威脅層面，該漏洞表現(xiàn)出了極大的危害性。用戶點(diǎn)擊鏈接后，不需要其他任何交互，攻擊者即可遠(yuǎn)程操控用戶設(shè)備，從而竊取用戶的賬號密碼、照片、通話記錄等隱私數(shù)據(jù)，甚至使用攝像頭進(jìn)行監(jiān)控，對用戶安全產(chǎn)生極大威脅。該項(xiàng)目的攻破也讓360安全團(tuán)隊(duì)成為“天府杯”唯一實(shí)現(xiàn)Chrome“二連勝”的戰(zhàn)隊(duì)，繼去年“天府杯”大賽唯一攻破Chrome項(xiàng)目之后，360安全團(tuán)隊(duì)再一次完整突破Chrome沙箱防護(hù)，實(shí)現(xiàn)全套利用。

接著，360漏洞研究院青訓(xùn)隊(duì)貢獻(xiàn)出一枚微軟Exchange Server 2019的遠(yuǎn)程代碼執(zhí)行漏洞。憑著該高危漏洞，360漏洞研究院青訓(xùn)隊(duì)僅以6秒時(shí)間迅速攻下Exchange Server項(xiàng)目，奪得評委組評定的6萬美元大賽獎金。

眾所周知，Exchange服務(wù)器是全球企業(yè)機(jī)構(gòu)最主流的郵件服務(wù)系統(tǒng)之一，據(jù)悉，全球范圍內(nèi)至少150萬臺在公網(wǎng)開放的服務(wù)器可能受到該漏洞的影響。不法攻擊者若利用該漏洞，可從外網(wǎng)訪問郵件服務(wù)器，進(jìn)而直接獲取公司域的控制權(quán)限，大量的公司內(nèi)部資產(chǎn)處于淪陷狀態(tài)，而攻擊者不僅可以竊取內(nèi)部敏感數(shù)據(jù)，還能獲得對受害環(huán)境的長期監(jiān)聽控制權(quán)。該漏洞的幕后發(fā)現(xiàn)者是長期為政企用戶及合作伙伴提供安服支持的360高級攻防實(shí)驗(yàn)室，鑒于該漏洞廣泛存在于政府和企業(yè)機(jī)構(gòu)的應(yīng)用架構(gòu)之中，因此該漏洞也成為了本屆“天府杯”在政企用戶防護(hù)研究方向上，極具實(shí)用價(jià)值的安全漏洞。

攻破每年最新款iPhone手機(jī)，已成為“天府杯”展現(xiàn)技術(shù)硬實(shí)力的標(biāo)志。今年，360漏洞研究院青訓(xùn)隊(duì)在iPhone?13 Pro的攻破上也取得亮眼的成績。360安全研究員為“天府杯”貢獻(xiàn)一枚蘋果Safari漏洞，盡管蘋果引入了最先進(jìn)、難度最高的安全防護(hù)機(jī)制指針驗(yàn)證碼（PAC），使得入侵iPhone變得困難重重，但是利用該漏洞依然成功繞過了PAC防護(hù)措施，順利攻破瀏覽器，完成任意代碼執(zhí)行，并且 iOS和MacOS 平臺均受該漏洞影響。

決賽當(dāng)天，360漏洞研究院青訓(xùn)隊(duì)又在Linux項(xiàng)目上取得了突破，利用一枚高危級別的提權(quán)漏洞現(xiàn)場攻破Linux系統(tǒng)，該漏洞影響Ubuntu和CentOS等主流Linux發(fā)行版，其潛伏時(shí)間長達(dá)六年以上，覆蓋版本3.x-5.x。利用該漏洞可以獲取操作系統(tǒng)ROOT權(quán)限，竊取及篡改系統(tǒng)及用戶的敏感數(shù)據(jù)。接著，360漏洞研究院青訓(xùn)隊(duì)接連攻破Adobe PDF reader項(xiàng)目，成就了360在“天府杯”Adobe PDF reader項(xiàng)目上的“三連勝”記錄。利用該Adobe reader軟件漏洞，用戶在使用reader時(shí)一旦不小心打開了被惡意構(gòu)造的PDF文檔，攻擊者便可實(shí)現(xiàn)任意代碼執(zhí)行，包括竊取用戶信息、下載木馬等。

最后，360漏洞研究院青訓(xùn)隊(duì)以一枚MacOS虛擬機(jī)漏洞收官，這也是“天府杯”大賽舉辦四年來首次設(shè)立的MacOS虛擬機(jī)相關(guān)項(xiàng)目，正是由于該漏洞的成功利用，助力360漏洞研究院青訓(xùn)隊(duì)最終奪下了Parallels?Desktop項(xiàng)目。

據(jù)悉，出征應(yīng)戰(zhàn)本屆“天府杯”的成員正是來自360政企安全集團(tuán)的新一代安全實(shí)戰(zhàn)專家團(tuán)隊(duì)。這支隊(duì)伍中大多數(shù)的安全專家均為95后，甚至不乏98年和99年的漏洞研究專家。這群年輕的安全白帽對于高危漏洞挖掘和產(chǎn)品安全性提升，有著極高的使命感和擔(dān)當(dāng)精神，長期以來在漏洞領(lǐng)域保持深入研究，也在本屆“天府杯”之戰(zhàn)中，以精湛的技術(shù)實(shí)力奪得總價(jià)值為39萬美元的豐厚獎金。