媒體報(bào)道

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

成功攻克Safari瀏覽器！安恒信息研究院衛(wèi)兵實(shí)驗(yàn)室2021天府杯之行

閱讀量：次

安恒信息研究院衛(wèi)兵實(shí)驗(yàn)室研究員“18樓夢(mèng)想改造家”與“jq0904”參加了2021屆“天府杯”國(guó)際網(wǎng)絡(luò)安全大賽，成功挑戰(zhàn)Safari瀏覽器破解課題！

研究員Safari瀏覽器課題破解挑戰(zhàn)成功

安恒信息研究院衛(wèi)兵實(shí)驗(yàn)室是安恒信息研究院高級(jí)漏洞挖掘團(tuán)隊(duì)，專注于WEB安全、移動(dòng)安全和二進(jìn)制安全領(lǐng)域研究，挖掘過數(shù)百個(gè)高危安全漏洞（如struts2-032、struts2-045、CVE-2020-0642等等），為全球各大公司（蘋果、微軟、谷歌、Oracle、Paypal、Apache、Cisco等）提供了持續(xù)、有價(jià)值的安全信息輸出。本次快速、成功的挑戰(zhàn)就是依靠實(shí)驗(yàn)室團(tuán)隊(duì)長(zhǎng)期積累的技術(shù)能力及強(qiáng)大的團(tuán)隊(duì)協(xié)作能力，展示出了實(shí)驗(yàn)室團(tuán)隊(duì)深厚的技術(shù)儲(chǔ)備。

研究員快速破解中

本次衛(wèi)兵實(shí)驗(yàn)室研究員們挑戰(zhàn)題目為“Safari瀏覽器”，Safari瀏覽器是一款由蘋果公司開發(fā)的網(wǎng)頁瀏覽器，是各類蘋果設(shè)備（如Mac、iPhone、iPad、iPod Touch）的默認(rèn)瀏覽器。據(jù)不完全統(tǒng)計(jì)，Safari 瀏覽器用戶使用量達(dá)到近10億用戶，版本更新迭代速度極快。

本次研究員破解的相關(guān)漏洞已經(jīng)提交給廠商并獲得確認(rèn)，影響范圍可達(dá)2016年至今的所有iOS及MacOSX的Safari瀏覽器版本用戶。建議所有Safari用戶關(guān)注蘋果公司后續(xù)即將發(fā)布的安全補(bǔ)丁包，積極更新，保護(hù)個(gè)人手機(jī)及電腦的安全。

“天府杯”國(guó)際網(wǎng)絡(luò)安全大賽

面向所有安全從業(yè)人員公開征集參賽選手與參賽項(xiàng)目，共設(shè)立150萬美元的獎(jiǎng)金，包含PC端、移動(dòng)端與服務(wù)器端三大項(xiàng)，以及虛擬化軟件、操作系統(tǒng)軟件、瀏覽器軟件、辦公軟件、移動(dòng)智能終端、Web服務(wù)及應(yīng)用軟件、DNS 服務(wù)軟件、共享管理類服務(wù)軟件等八大類別。

關(guān)于我們

人才招聘

二進(jìn)制安全研究員

(Windows內(nèi)核方向)

崗位職責(zé)：

- 負(fù)責(zé)研究Window內(nèi)核相關(guān)漏洞利用技術(shù)；

- 負(fù)責(zé)分析Window內(nèi)核漏洞的原理及緩解措施；

任職要求：

- 2年以上windows逆向工作經(jīng)驗(yàn)。

- 熟悉windows底層架構(gòu)、運(yùn)行機(jī)制，熟悉匯編語言 C/C++語言，熟悉win32/64開發(fā)，并有相關(guān)開發(fā)經(jīng)驗(yàn)；

- 熟悉windows驅(qū)動(dòng)開發(fā)、熟悉windows平臺(tái)內(nèi)核架構(gòu)；能熟練運(yùn)用Windows平臺(tái)下的軟件調(diào)試方法。

- 熟練使用ida、windbg等調(diào)試軟件工具調(diào)試分析漏洞。

- 有CVE編號(hào)、內(nèi)核研究成果者優(yōu)先；

- 具備良好的團(tuán)隊(duì)溝通、協(xié)作能力、良好的職業(yè)道德。

二進(jìn)制安全研究員

(Linux內(nèi)核方向)

崗位職責(zé)：

- 負(fù)責(zé)研究Linux內(nèi)核相關(guān)漏洞利用技術(shù)；

- 負(fù)責(zé)分析Linux內(nèi)核漏洞的原理及緩解措施；

任職要求：

- 2年以上Linux逆向工作經(jīng)驗(yàn)。

- 熟悉Linux底層架構(gòu)、運(yùn)行機(jī)制，熟悉匯編語言 C/C++語言，熟悉x86/64開發(fā)，并有相關(guān)開發(fā)經(jīng)驗(yàn)；

- 熟悉Linux驅(qū)動(dòng)開發(fā)、熟悉Linux平臺(tái)內(nèi)核架構(gòu)；能熟練運(yùn)用Linux平臺(tái)下的軟件調(diào)試方法。

- 熟練使用ida、gdb、lldb等調(diào)試軟件工具調(diào)試分析漏洞。

- 有CVE編號(hào)、內(nèi)核研究成果者優(yōu)先；

- 具備良好的團(tuán)隊(duì)溝通、協(xié)作能力、良好的職業(yè)道德。

二進(jìn)制安全研究員

(系統(tǒng)應(yīng)用方向)

崗位職責(zé)：

- 負(fù)責(zé)安全技術(shù)研究，跟蹤國(guó)內(nèi)外最新的安全技術(shù)以及安全漏洞的追蹤；

- 負(fù)責(zé)進(jìn)行二進(jìn)制漏洞挖掘，包括不限于瀏覽器、chakara引擎、js引擎、office、pdf等等各種二進(jìn)制類應(yīng)用；

任職要求：

- 能主動(dòng)關(guān)注國(guó)內(nèi)外最新安全攻防技術(shù)，并在自己擅長(zhǎng)和興趣的領(lǐng)域能夠進(jìn)行深入的學(xué)習(xí)、研究；

- 熟練掌握windbg、ida、gdb等調(diào)試工具；

- 熟悉各類二進(jìn)制安全漏洞原理（堆溢出、棧溢出、整數(shù)溢出、類型混淆等等）以及各種利用技術(shù)；

- 能夠無障礙閱讀英文技術(shù)文檔；

- 具備良好的團(tuán)隊(duì)溝通、協(xié)作能力、良好的職業(yè)道德。

Web安全研究員

崗位職責(zé)：

- 跟蹤最新安全技術(shù)動(dòng)態(tài)，對(duì)高危安全漏洞進(jìn)行快速分析和響應(yīng)；

- 負(fù)責(zé)安全產(chǎn)品的線下、線上功能及流程的驗(yàn)收測(cè)試，保證項(xiàng)目進(jìn)度和品質(zhì)；

- 從事影響比較大的國(guó)內(nèi)外大型的cms、中間件、框架漏洞挖掘工作

任職要求：

- 深入了解漏洞原理，能夠獨(dú)立挖掘/分析包括但不限于PHP/JAVA/.NET/ASP等大中型應(yīng)用漏洞，并編寫exp；

- 具備優(yōu)秀的JAVA開發(fā)能力，能熟練挖掘 JAVA WEB 方面的漏洞，深入了解tomcat,weblogic,jboss,resin等中間件內(nèi)部構(gòu)造；

- 熟練使用至少一門開發(fā)語言，如：PHP、python、java；

- 有比較強(qiáng)的開發(fā)能力，熟悉java web的常見漏洞原理，有能力挖掘和分析java web方面的漏洞；

- 有重大漏洞發(fā)掘或高質(zhì)量的CVE、0day挖掘能力的優(yōu)先考慮；

Web安全研究員

(安全測(cè)試方向)?

崗位職責(zé)：

- 安全攻防技術(shù)研究，最新web應(yīng)用及中間件漏洞挖掘研究；

- 跟蹤分析國(guó)內(nèi)外的安全動(dòng)態(tài)，對(duì)重大安全事件進(jìn)行快速響應(yīng)；

- 針對(duì)相關(guān)產(chǎn)品，進(jìn)行全面詳細(xì)的安全測(cè)試評(píng)估；

任職要求：

- 了解常見的網(wǎng)絡(luò)協(xié)議(TCP/IP,HTTP,FTP等)；

- 熟練使用Wireshark等抓包工具，熟悉正則表達(dá)式；

- 掌握常見漏洞原理，有一定的漏洞分析能力；

- 具備php、python、java或其他相關(guān)語言編碼能力；

- 對(duì)常見waf繞過有一定的基礎(chǔ)經(jīng)驗(yàn)；

- 具備一定的文檔編寫能力，具備良好的團(tuán)隊(duì)共同能力；

- 對(duì)安全有濃厚的興趣，工作細(xì)致耐心。

高級(jí)攻防研究員

崗位職責(zé)：

- 負(fù)責(zé)完成定向滲透測(cè)試任務(wù)；

- 負(fù)責(zé)完成攻防溯源任務(wù)。

任職要求：

- 三年以上相關(guān)工作經(jīng)驗(yàn)，若滿足以下所有條件，則可忽略此要求；

- 熟練掌握Cobalt Strike、Empire、Metasploit等后滲透工具的使用；

- 具有完善的全流程滲透測(cè)試意識(shí)；

- 具有大型、復(fù)雜網(wǎng)絡(luò)環(huán)境的滲透測(cè)試經(jīng)驗(yàn)；

- 具有殺軟、流量防護(hù)、終端防護(hù)等防護(hù)措施的對(duì)抗經(jīng)驗(yàn)；

- 具有獨(dú)立的漏洞挖掘、研究能力；

- 熟練掌握至少一門開發(fā)語言，包括不局限于C/C++、Java、PHP、Python、nodejs等；

- 具備攻防溯源經(jīng)驗(yàn)；

- 良好的溝通能力和團(tuán)隊(duì)協(xié)作能力。

加分項(xiàng)：

- 紅隊(duì)工具開發(fā)經(jīng)驗(yàn)；

- 有良好的技術(shù)筆記習(xí)慣。

攻防研究員

崗位職責(zé)：

- 負(fù)責(zé)完成定向滲透測(cè)試任務(wù)；

- 負(fù)責(zé)完成攻防溯源任務(wù)。

任職要求：

- 三年以上相關(guān)工作經(jīng)驗(yàn)，若滿足以下所有條件，則可忽略此要求；

- 熟練掌握Cobalt Strike、Empire、Metasploit等后滲透工具的使用；

- 具有完善的全流程滲透測(cè)試意識(shí)；

- 具有中小型和云環(huán)境的滲透測(cè)試經(jīng)驗(yàn)；

- 具有獨(dú)立的漏洞挖掘、研究能力；

- 熟練掌握至少一門開發(fā)語言，包括不局限于C/C++、Java、PHP、Python、nodejs等；

- 良好的溝通能力和團(tuán)隊(duì)協(xié)作能力。

加分項(xiàng)：

- 紅隊(duì)工具開發(fā)經(jīng)驗(yàn)；

- 有良好的技術(shù)筆記習(xí)慣。

攻防研究開發(fā)工程師

崗位職責(zé)：

- 負(fù)責(zé)完成安全工具開發(fā)；

- 負(fù)責(zé)完成攻防專題研究。

任職要求：

- 三年以上相關(guān)工作經(jīng)驗(yàn)，若滿足以下所有條件，則可忽略此要求；

- 熟悉常見攻防工具的原理和使用

- 熟悉常見的攻防概念

- 有實(shí)際開發(fā)安全相關(guān)工具的經(jīng)驗(yàn)

- 熟練掌握至少三門開發(fā)語言，包括不局限于C/C++、Java、PHP、Python、nodejs、golang等；

- 熟練掌握網(wǎng)絡(luò)編程

- 具有殺軟、流量防護(hù)、終端防護(hù)等防護(hù)措施的對(duì)抗經(jīng)驗(yàn)；

- 了解linux、windows相關(guān)安全特性

加分項(xiàng)：

- 豐富的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)；

- 有良好的技術(shù)筆記習(xí)慣。

感興趣的小伙伴看這里！

感興趣的小伙伴請(qǐng)聯(lián)系姜女士，或?qū)⒑?jiǎn)歷投送至下方郵箱。（請(qǐng)注明投遞崗位及來源“安恒信息官網(wǎng)”）

聯(lián)系人：姜女士
郵箱：double.jiang@dbappsecurity.com.cn

關(guān)閉

云安全>

態(tài)勢(shì)感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

>

>

新一代安全服務(wù)>

偵測(cè)服務(wù)>

保護(hù)檢測(cè)服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營(yíng)管理服務(wù)>

特色服務(wù)>

>

數(shù)據(jù)安全>

基礎(chǔ)安全>