“补天白帽大会”召开 赛博昆仑技术大神分享漏洞攻防干货

　　零日漏洞能否被提前预测?太空通信和卫星网络存在哪些潜在漏洞?加密货币真的安全吗?……9月17日，主题为“HACK FOR SECURITY”的2021补天白帽大会在北京成功举办。上百位国内外安全圈的顶级大咖，就以上热点安全话题展开了交流。

　　据了解，大会共设置主论坛、Tools Collection论坛两大活动。其中，主论坛汇集了八大议题，为白帽黑客提供深入技术交流机会。从卫星通信网络、虚拟货币等前沿技术趋势，云原生容器集群、供应链、智能汽车、反诈等方向实战技术分享等多维度带来精彩分享。

　　在Tools Collection论坛上，还展示了OpenRASP、哥斯拉、Cross C2、SATC、CDK、Bincraft、RapidDNS、Kunyu、Pocassist 9大开源工具。大会主办方希望能够磨砺更多神兵利器，推动网络安全向前发展进步。

　　在大会现场，除了腾讯安全天马实验室、奇安信技术研究院天工实验室、奇安信代码安全实验室等顶尖安全团队之外，新生代安全公司赛博昆仑“昆仑实验室”也亮相大会现场。“昆仑实验室”安全研究员hackyzh应邀出席并以“进击的Microsoft Store内置应用挖洞之旅”为题发表演讲。

　　赛博昆仑刚成立半年多就获得业内外广泛关注，与公司创始人兼首席执行官郑文彬(MJ)的个人光环不无关系。作为知名的“技术大神”，郑文彬早已是安全圈的传奇人物。

　　公司旗下的“昆仑实验室”，则由负责高级漏洞对抗实战的国际顶级安全团队组成。实验室成员曾在微软、谷歌、苹果、VMware及Adobe等厂商的产品中独立发现数千个高危零日漏洞;在近七年的Pwn2own、天府杯等国际漏洞攻防大赛中，多次获得冠军、总冠军，并曾获得有“黑客奥斯卡”之称的PwineAwards最佳提权漏洞奖项。

　　在本次大会召开前不久，谷歌公司刚刚发布了Chrome浏览器的93.0.4577.82桌面版本更新，着重修补了两个被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。这两个被谷歌标记为“高危”的漏洞可以使攻击者完全控制上网用户的电脑，谷歌官方建议用户尽快更新升级。而这两个漏洞早在今年四月份就被赛博昆仑提前精准预测到，并为其产品用户进行了针对性的提前保护，可见该公司技术实力之强。

　　而此次“补天白帽大会”上亮相的安全研究员hackyzh，多年专注于windows操作系统、hyper-v虚拟化以及chrome的漏洞挖掘，曾多次发现微软漏洞，并获得MSRC 2019 TOP 100，且多次获得微软，谷歌、苹果等公司的致谢。

　　在大会演讲中，hackyzh系统介绍了UWP应用程序，回顾了与之相关的历史漏洞。同时，还通过实际案例，讲解了如何构建Fuzzer工具，更高效地寻找攻击面，并最终提升漏洞发现效率的办法。

　　此外，赛博昆仑创始人兼首席执行官MJ(郑文彬)曾在8月初公开宣布，公司旗下的安全产品“洞见平台”可以对零日漏洞，尤其是“在野”零日漏洞进行精准、提前防御。未来这款产品的市场反响如何、赛博昆仑还将推出哪些新产品，无疑都值得继续关注。