服务企业数据安全

　　今日，360补天漏洞响应平台在京举办了“补天白帽技术沙龙”活动。

　　补天漏洞响应平台负责人白健表示，这次活动旨在为专注于网络安全、并对互联网行业做出卓越贡献的“白帽子们”，提供一个分享技术 、交流经验的机会与平台。

　　安全盒子团队SecBox Team的创始人出生于1997年的王松_Striker，从黑客的视角解读了SSRF（服务端请求伪造）。他认为，在当前的信息安全领域，安全人员的大部分注意力仍然集中于如何防范那些来自网络外部的恶意攻击，却忽略了黑客攻击的核心目标是窃取企业数据，对此他重点讲解了内网渗透中“进击的巨人”——SSRF是如何危害企业网络的安全问题。

　　“对于SSRF漏洞，没有一种完美的产品或者方法能够预防，还是要加强员工和开发人员的安全意识，普及安全，了解安全。”王松说。

　　对于如何更好的保护企业数据，他表示：“保护企业数据安全首先要加强对系统漏洞的监测，对发现的安全问题及时进行修复。其次就是从根源进行保密，将数据进行加密保存，使用可靠的防火墙，对攻击进行拦截。”

　　360 vulcan Team安全团队成员古河，从事多年二进制漏洞挖掘利用、系统安全研究、安全产品的开发工作，曾在pwn2own大赛上攻破过IE11浏览器、google chrome浏览器、以及运行在Edge浏览器中的Flash插件等。活动中，他向现场“白帽子们”分享了二进制漏洞挖掘相关的工作内容、方式、方法，以及团队在参加全球闻名的黑客大赛pwn2own中的准备工作、花絮以及收获等。

　　奇虎360高级安全工程师Mickey则分享了如何利用逆向思维和黑客工具进行本地提权，以及怎样进行网络信息收集、过滤与甄别“low hanging fruit”和如何从不入域的Linux主机到内网域控的高级渗透技巧等内容。

　　白健表示，补天平台作为白帽子和厂商之间的公益性平台，一直立志实现厂商与白帽子之间的共赢。今后补天将会通过这种形式，给白帽子提供更多的交流机会。“我们已经开始筹划下一期上海站的沙龙了。”

　　补天漏洞响应平台是国内首个现金奖励漏洞平台，专门处理第三方web应用漏洞等安全问题，目前拥有支持厂商3000多家，注册白帽20000余人。

　　补天漏洞表示，希望通过付费收集漏洞的方式，来收集并且推动开发商与安全厂商的升级，进而加速漏洞的修复，降低漏洞带来的风险，最终达到提升网站安全的目的。