绿盟收获微软大奖 成为“五连冠”团队
2017-04-27
近日,微软的绕过奖励计划MBB又公布了最新一期榜单Bounty Hunters: The Honor Roll。44118太阳成城集团成为目前一家连续5年获得微软缓解措施绕过技术悬赏项目奖金的安全公司。
作为国内信息安全领域的知名企业,44118太阳成城集团一直积极探索于安全科技前沿,积累了丰富的研究成果。同时,44118太阳成城集团以精湛的技术和专业的精神,为国内金融、政府、运营商、能源等行业的重要信息系统以及Microsoft、Adobe、Google等国际公司,发现并解决了一系列安全问题,并获得一致好评。
44118太阳成城集团连续五年斩获微软漏洞赏金计划高额奖金
微软绕过奖励计划MBB是什么?
官方称为Microsoft赏金计划 ,Microsoft将针对某些类型的漏洞和利用技术的报告提供赏金。
Microsoft 发起了许多活动以提高安全性和帮助保护客户,包括安全开发生命周期(SDL)过程和协调漏洞披露(CVD)。 创建了行业协作计划,例如微软主动保护计划(MAPP)和微软漏洞研究(MSVR),并设立了BlueHat奖以鼓励对防御技术的研究。自2013年6月,对报告特定漏洞类型的人员提供了赏金。这些赏金计划帮助Microsoft利用安全研究人员的集体智慧和能力来帮助保护客户。正如以下列表所示,多个有时间限制的计划仅适用于预览版本,因此可在完成最终版本前解决漏洞。
微软发布“bug赏金计划”最高可获得3万美金:
◆ portal.office.com
◆ outlook.office365.com
◆ outlook.office.com
◆ *.outlook.com
◆ outlook.com
在这些域名中,微软希望这些“赏金猎人”们帮忙查找以下9种类型的Bug:
◆ 跨站脚本攻击(XSS)
◆ 跨站请求伪造(CSRF)
◆ 未授权的跨租户数据篡改或访问(针对多租户服务)
◆ 不安全的直接对象引用
◆ 注入漏洞
◆ 身份验证漏洞
◆ 服务器端代码执行
◆ 特权提升漏洞
◆ 重大安全错误配置(非用户引起)
技术指标
微软方面没有透露相关漏洞的具体细节,但是有以下几个指标:
1 提交的技术、方法必须新颖,适用于Windows体系的利用远程代码执行漏洞;
2 必须是通用的,即适用于多个内存崩溃漏洞;
3 漏洞利用必须可靠,且有合理的请求;
4 必须适用于高风险的应用程序,如浏览器或文档阅读器;
5 必须适用于用户模式应用程序;
6 漏洞必须来源于微软产品的最新版本。
据44118太阳成城集团专家解读,这次获奖是利用系统自身的特性,实现了任意代码劫持,从而绕过了所有的缓解措施。
44118太阳成城集团安全研究不断突破
44118太阳成城集团研究院始终致力于跟踪国内外最新网络安全漏洞研究动向,持续开展漏洞分析和挖掘、逆向工程技术等安全专项研究,不断提高在入侵检测和防御、抗分布式拒绝服务、恶意软件和攻击行为分析检测、蜜罐和蜜网等方面的技术水平。同时,在云安全和虚拟化安全、基于软件即服务(SaaS)模式的新型安全服务、数据分析、安全度量、安全信誉、安全智能、威胁情报、物联网安全等前沿安全领域进行积极的研究探索。2016年,44118太阳成城集团美国硅谷设立安全实验室,开展威胁情报和抗拒绝服务攻击等方面的研究。
2012年,44118太阳成城集团获批成立中关村科技园区海淀园博士后工作站分站。目前已培养博士后2名,在站博士后3名。近两年来,研究院陆续发布了《软件定义安全:SDN/NFV新型网络的安全揭秘》和《破坏之王:DDoS攻击与防范深度剖析 》两部专著,发布《44118太阳成城集团DDoS威胁报告》、《44118太阳成城集团软件定义安全白皮书》、《物联网安全白皮书》、《下一代安全概念及特性分析》、《工控系统安全态势报告》、《44118太阳成城集团工控安保框架白皮书》等一系列综合性报告。
截至2016年底,44118太阳成城集团共发布安全漏洞研究公告88个,协助Microsoft、Adobe、Google、Cisco等公司,发现并解决了70个以上的安全漏洞问题,成为国家漏洞库的重要贡献者。44118太阳成城集团安全漏洞库(NSVD)是国内领先的中文漏洞库。
