360补天白帽技术分享：保护企业数据安全需加强漏洞监测

大荆

日前，360补天漏洞响应平台在京举办了“补天白帽技术沙龙”活动。此次活动邀请到了多位专注于网络安全的“白帽子们”于现场分享技术、交流经验。

安全盒子团队SecBox Team的创始人王松_Striker从黑客的视角解读了SSRF（服务端请求伪造）。他认为，在当前的信息安全领域，安全人员的大部分注意力依旧集中于如何防范那些来自网络外部的恶意攻击，却忽略了黑客攻击的核心目标是窃取企业数据，对此他重点讲解了内网渗透中“进击的巨人”——SSRF是如何危害企业网络的安全问题。

“对于SSRF漏洞，没有一种完美的产品或者方法能够预防，还是要加强员工和开发人员的安全意识，普及安全，了解安全。”王松说。

对于如何更好的保护企业数据，他表示：“保护企业数据安全首先要加强对系统漏洞的监测，对发现的安全问题及时进行修复。其次就是从根源进行保密，将数据进行加密保存，使用可靠的防火墙，对攻击进行拦截。”

奇虎360高级安全工程师Mickey则分享了如何利用逆向思维和黑客工具进行本地提权，以及怎样进行网络信息收集、过滤与甄别“low hanging fruit”和如何从不入域的Linux主机到内网域控的高级渗透技巧等内容。

本次活动方补天漏洞响应平台的负责人白健介绍，补天平台作为白帽子和厂商之间的公益性平台，目的是实现厂商与白帽子之间的共赢。今后将会通过这种形式，给白帽子提供更多的交流机会。“我们已经开始筹划下一期上海站的沙龙了”，白健告诉记者。

补天漏洞响应平台是现金奖励漏洞平台，专门处理第三方web应用漏洞等安全问题，目前注册白帽20000余人。补天漏洞表示，希望通过付费收集漏洞的方式，来收集并且推动开发商与安全厂商的升级，进而加速漏洞的修复，降低漏洞带来的风险，最终达到提升网站安全的目的。

原文地址：https://m.toutiao.com/i6290305286519390722/