全球著名网络安全峰会BlackHat USA 2022将于今年八月拉开帷幕，在近日公布的演讲阵容中，360政企安全集团共有两大漏洞研究成果成功入选。这也是继不久前在BlackHat Aisa发布两大重磅议题后，360安全专家团队代表中国安全力量，又一次强势亮相世界舞台。

作为世界网络安全行业的盛会，世界黑帽峰会（BlackHat）至今已有24年历史，每年其都会在美国、欧洲、亚洲分别举行一次大会，其中BlackHat USA最具规模和权威性，是了解全球最新安全研究成果及安全威胁最好的窗口。对安全技术研究人员来说，能够登上BlackHat USA向世界分享自己的研究成果，象征着安全圈的最高荣誉。

此次，来自360漏洞研究院的安全专家将受邀参加大会，并基于《I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit》和《与浏览器的”交流”的另一种方式：从网络栈出发攻击Chrome》两大主题演讲，与数万名安全决策者共探数字安全建设的发展之路。

议题一：I Am Whoever I Say I Am: Infiltrating Identity Providers Using a 0Click Exploit

演讲人：360漏洞研究院高级安全研究员Steven Seeley

作为本议题的主讲人，Steven Seeley聚焦0day漏洞攻击性的研究，专注于影响云环境的Web应用程序安全，在影响Adobe、Microsoft、Oracle、VMWare、Apple、Cisco和HPE等供应商的软件中发现了千余个高危漏洞。

本次，他将针对在政企办公环境下十分常用的身份和访问管理 (IAM) 解决方案，通过一些基本用例和在野攻击造成的影响，着重介绍在审计过程中所面临的安全挑战与解决思路，其中不乏类似绕过严格的出站网络访问等最新攻击方式。同时，他将现场演示他编写的利用代码，以揭示这些类型的攻击可能对依赖 IAM 解决方案的组织产生的高度危害。

议题二：与浏览器的”交流”的另一种方式：从网络栈出发攻击Chrome

演讲人：360漏洞研究院安全研究员简容

本次360漏洞研究院的另一议题是由安全研究员简容发布，他多年来一直将浏览器安全作为研究重点，并接连在2020年、2021年的天府杯国际网络安全大赛Chrome类别中屡获佳绩。尤其在2020年，身为360参赛安全团队的重要一员，其参与攻破Chrome浏览器渲染进程和沙箱逃逸，完成远程控制计算机的攻击展示，这也是自2015年以来Chrome在国际比赛中被首次完全攻克。

在本次议题中，简容将聚焦数字化办公的重要基础设施——浏览器，分享他在Chrome浏览器的网络栈中发现的数个安全漏洞，并通过这些漏洞实现稳定的远程利用链。与常规攻击JavaScript引擎和浏览器主进程的思路不同，攻击网络栈需要精确结合服务器端对浏览器的网络响应行为，从而触发网络栈中的逻辑问题，这将有力推动数字化办公安全研究上升到一个新的里程碑高度。

从360漏洞研究院在本届BlackHat USA中即将发表的两个议题可以看出，面对全球数字化转型战略的深入推进，360政企安全集团基于17余年来实战攻防经验的积累，不仅打造出东半球最大的安全专家团队，并凭借在数字安全建设方面的持续研发投入，取得了显著的成绩。

在此其中，凭借多年对漏洞利用技术手段的深耕，360政企安全集团自2014年起，便多次在BlackHat USA中发表了关于操作系统端、Android设备端等一系列引领行业发展的漏洞利用思路。就在前不久开启的BlackHat Asia 2022（亚洲黑帽峰会）中，360政企安全集团同样发表了主题为《USMA：用户态映射攻击》和《下一代Windows漏洞利用：攻击通用日志文件系统》的两大演讲，引发了全行业的高度关注。

同时，面对不断加剧的高级威胁，其还凭借着一次又一次震撼全球的安全实力，不仅成为微软MSRC、天府杯等国际奖项中屠榜的“常客”，还荣膺中国首个“The Pwnie Awards”史诗级成就奖和最佳提权漏洞奖，更是连续多年获谷歌官方漏洞奖励计划年报（VRP）公开致谢，让全球看到中国乃至亚洲安全力量的强势崛起。

未来，360政企安全集团将持续在“以攻促防”的实战思维引导下，推动数字安全建设的高质量发展，助力广大政企用户整体提升应对数字时代高级威胁的安全能力，为数字中国战略的深入落地不断贡献力量！