AI+安全
數據安全
數據基礎設施
態(tài)勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業(yè)互聯(lián)網安全
物聯(lián)網安全
安全托管服務
運營管理服務
媒體報道
成功攻克Safari瀏覽器!安恒信息研究院衛(wèi)兵實驗室2021天府杯之行
安恒信息研究院衛(wèi)兵實驗室研究員“18樓夢想改造家”與“jq0904”參加了2021屆“天府杯”國際網絡安全大賽,成功挑戰(zhàn)Safari瀏覽器破解課題!
研究員Safari瀏覽器課題破解挑戰(zhàn)成功
安恒信息研究院衛(wèi)兵實驗室是安恒信息研究院高級漏洞挖掘團隊,專注于WEB安全、移動安全和二進制安全領域研究,挖掘過數百個高危安全漏洞(如struts2-032、struts2-045、CVE-2020-0642等等),為全球各大公司(蘋果、微軟、谷歌、Oracle、Paypal、Apache、Cisco等)提供了持續(xù)、有價值的安全信息輸出。本次快速、成功的挑戰(zhàn)就是依靠實驗室團隊長期積累的技術能力及強大的團隊協(xié)作能力,展示出了實驗室團隊深厚的技術儲備。
研究員快速破解中
本次衛(wèi)兵實驗室研究員們挑戰(zhàn)題目為“Safari瀏覽器”,Safari瀏覽器是一款由蘋果公司開發(fā)的網頁瀏覽器,是各類蘋果設備(如Mac、iPhone、iPad、iPod Touch)的默認瀏覽器。據不完全統(tǒng)計,Safari 瀏覽器用戶使用量達到近10億用戶,版本更新迭代速度極快。
本次研究員破解的相關漏洞已經提交給廠商并獲得確認,影響范圍可達2016年至今的所有iOS及MacOSX的Safari瀏覽器版本用戶。建議所有Safari用戶關注蘋果公司后續(xù)即將發(fā)布的安全補丁包,積極更新,保護個人手機及電腦的安全。
“天府杯”國際網絡安全大賽
面向所有安全從業(yè)人員公開征集參賽選手與參賽項目,共設立150萬美元的獎金,包含PC端、移動端與服務器端三大項,以及虛擬化軟件、操作系統(tǒng)軟件、瀏覽器軟件、辦公軟件、移動智能終端、Web服務及應用軟件、DNS 服務軟件、共享管理類服務軟件等八大類別。
關于我們
人才招聘
崗位職責:
- 負責研究Window內核相關漏洞利用技術;
- 負責分析Window內核漏洞的原理及緩解措施;
任職要求:
- 2年以上windows逆向工作經驗。
- 熟悉windows底層架構、運行機制,熟悉匯編語言 C/C++語言,熟悉win32/64開發(fā),并有相關開發(fā)經驗;
- 熟悉windows驅動開發(fā)、熟悉windows平臺內核架構;能熟練運用Windows平臺下的軟件調試方法。
- 熟練使用ida、windbg等調試軟件工具調試分析漏洞。
- 有CVE編號、內核研究成果者優(yōu)先;
- 具備良好的團隊溝通、協(xié)作能力、良好的職業(yè)道德。
崗位職責:
- 負責研究Linux內核相關漏洞利用技術;
- 負責分析Linux內核漏洞的原理及緩解措施;
任職要求:
- 2年以上Linux逆向工作經驗。
- 熟悉Linux底層架構、運行機制,熟悉匯編語言 C/C++語言,熟悉x86/64開發(fā),并有相關開發(fā)經驗;
- 熟悉Linux驅動開發(fā)、熟悉Linux平臺內核架構;能熟練運用Linux平臺下的軟件調試方法。
- 熟練使用ida、gdb、lldb等調試軟件工具調試分析漏洞。
- 有CVE編號、內核研究成果者優(yōu)先;
- 具備良好的團隊溝通、協(xié)作能力、良好的職業(yè)道德。
崗位職責:
- 負責安全技術研究,跟蹤國內外最新的安全技術以及安全漏洞的追蹤;
- 負責進行二進制漏洞挖掘,包括不限于瀏覽器、chakara引擎、js引擎、office、pdf等等各種二進制類應用;
任職要求:
- 能主動關注國內外最新安全攻防技術,并在自己擅長和興趣的領域能夠進行深入的學習、研究;
- 熟練掌握windbg、ida、gdb等調試工具;
- 熟悉各類二進制安全漏洞原理(堆溢出、棧溢出、整數溢出、類型混淆等等)以及各種利用技術;
- 能夠無障礙閱讀英文技術文檔;
- 具備良好的團隊溝通、協(xié)作能力、良好的職業(yè)道德。
崗位職責:
- 跟蹤最新安全技術動態(tài),對高危安全漏洞進行快速分析和響應;
- 負責安全產品的線下、線上功能及流程的驗收測試,保證項目進度和品質;
- 從事影響比較大的國內外大型的cms、中間件、框架漏洞挖掘工作
任職要求:
- 深入了解漏洞原理,能夠獨立挖掘/分析包括但不限于PHP/JAVA/.NET/ASP等大中型應用漏洞,并編寫exp;
- 具備優(yōu)秀的JAVA開發(fā)能力,能熟練挖掘 JAVA WEB 方面的漏洞,深入了解tomcat,weblogic,jboss,resin等中間件內部構造;
- 熟練使用至少一門開發(fā)語言,如:PHP、python、java;
- 有比較強的開發(fā)能力,熟悉java web的常見漏洞原理,有能力挖掘和分析java web方面的漏洞;
- 有重大漏洞發(fā)掘或高質量的CVE、0day挖掘能力的優(yōu)先考慮;
崗位職責:
- 安全攻防技術研究,最新web應用及中間件漏洞挖掘研究;
- 跟蹤分析國內外的安全動態(tài),對重大安全事件進行快速響應;
- 針對相關產品,進行全面詳細的安全測試評估;
任職要求:
- 了解常見的網絡協(xié)議(TCP/IP,HTTP,FTP等);
- 熟練使用Wireshark等抓包工具,熟悉正則表達式;
- 掌握常見漏洞原理,有一定的漏洞分析能力;
- 具備php、python、java或其他相關語言編碼能力;
- 對常見waf繞過有一定的基礎經驗;
- 具備一定的文檔編寫能力,具備良好的團隊共同能力;
- 對安全有濃厚的興趣,工作細致耐心。
崗位職責:
- 負責完成定向滲透測試任務;
- 負責完成攻防溯源任務。
任職要求:
- 三年以上相關工作經驗,若滿足以下所有條件,則可忽略此要求;
- 熟練掌握Cobalt Strike、Empire、Metasploit等后滲透工具的使用;
- 具有完善的全流程滲透測試意識;
- 具有大型、復雜網絡環(huán)境的滲透測試經驗;
- 具有殺軟、流量防護、終端防護等防護措施的對抗經驗;
- 具有獨立的漏洞挖掘、研究能力;
- 熟練掌握至少一門開發(fā)語言,包括不局限于C/C++、Java、PHP、Python、nodejs等;
- 具備攻防溯源經驗;
- 良好的溝通能力和團隊協(xié)作能力。
加分項:
- 紅隊工具開發(fā)經驗;
- 有良好的技術筆記習慣。
崗位職責:
- 負責完成定向滲透測試任務;
- 負責完成攻防溯源任務。
任職要求:
- 三年以上相關工作經驗,若滿足以下所有條件,則可忽略此要求;
- 熟練掌握Cobalt Strike、Empire、Metasploit等后滲透工具的使用;
- 具有完善的全流程滲透測試意識;
- 具有中小型和云環(huán)境的滲透測試經驗;
- 具有獨立的漏洞挖掘、研究能力;
- 熟練掌握至少一門開發(fā)語言,包括不局限于C/C++、Java、PHP、Python、nodejs等;
- 良好的溝通能力和團隊協(xié)作能力。
加分項:
- 紅隊工具開發(fā)經驗;
- 有良好的技術筆記習慣。
崗位職責:
- 負責完成安全工具開發(fā);
- 負責完成攻防專題研究。
任職要求:
- 三年以上相關工作經驗,若滿足以下所有條件,則可忽略此要求;
- 熟悉常見攻防工具的原理和使用
- 熟悉常見的攻防概念
- 有實際開發(fā)安全相關工具的經驗
- 熟練掌握至少三門開發(fā)語言,包括不局限于C/C++、Java、PHP、Python、nodejs、golang等;
- 熟練掌握網絡編程
- 具有殺軟、流量防護、終端防護等防護措施的對抗經驗;
- 了解linux、windows相關安全特性
加分項:
- 豐富的實戰(zhàn)攻防經驗;
- 有良好的技術筆記習慣。
感興趣的小伙伴看這里!
