由市教委指導(dǎo)，北京聯(lián)合大學(xué)牽頭，依托在京網(wǎng)絡(luò)安全方面有特長(zhǎng)的高校成立“北京教育行業(yè)SRC平臺(tái)”。旨在完善全市教育系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)機(jī)制，形成統(tǒng)一網(wǎng)絡(luò)安全漏洞通報(bào)、統(tǒng)一網(wǎng)絡(luò)安全事件協(xié)調(diào)處置、統(tǒng)一網(wǎng)絡(luò)安全工作聯(lián)絡(luò)的“三統(tǒng)一”協(xié)調(diào)機(jī)制，構(gòu)建網(wǎng)絡(luò)安全治理新機(jī)制、新模式。

北京禹宏信安科技有限公司自成立以來(lái)，深耕教育行業(yè)。致力于為客戶提供最前沿、最全面的網(wǎng)絡(luò)安全、數(shù)據(jù)安全服務(wù)與解決方案。在“北京教育行業(yè)SRC平臺(tái)”建設(shè)與籌備中，根據(jù)平臺(tái)需求和特點(diǎn)，協(xié)助開(kāi)發(fā)和建設(shè)，并持續(xù)為平臺(tái)運(yùn)維提供技術(shù)支撐，共同探索和構(gòu)建北京市教育系統(tǒng)網(wǎng)絡(luò)安全漏洞管理新機(jī)制、新模式，在提高網(wǎng)絡(luò)安全人才素質(zhì)和教育行業(yè)網(wǎng)絡(luò)安全防御水平方面發(fā)揮積極作用。

（信息來(lái)源：北京聯(lián)合大學(xué)）

北京大學(xué)計(jì)算中心網(wǎng)絡(luò)安全室主任周昌令做“攻防對(duì)抗視角下的校園網(wǎng)絡(luò)安全體系建設(shè)”演講。對(duì)近年的多項(xiàng)攻防實(shí)戰(zhàn)、網(wǎng)絡(luò)安全事件進(jìn)行分析，并對(duì)高校網(wǎng)絡(luò)安全建設(shè)提出改進(jìn)思路。

北京禹宏信安科技有限公司聯(lián)合創(chuàng)始人石磊分享了攻防演練中存在的校園資產(chǎn)攻擊面管理問(wèn)題和解決方案。

青藤云安全聯(lián)合創(chuàng)始人程度就“ATT&CK安全框架在數(shù)據(jù)安全方面實(shí)踐”等熱點(diǎn)問(wèn)題進(jìn)行了分享。

論壇會(huì)上，察哈爾右翼后旗人大常委會(huì)主任張秀清出席論壇并致辭，聯(lián)盟專家委員會(huì)主任委員段繼亮（原北京市公安局警務(wù)技術(shù)一級(jí)主任、正高級(jí)工程師）對(duì)2023年度論壇工作開(kāi)展情況進(jìn)行了總結(jié)，隨后與會(huì)專家的進(jìn)行了技術(shù)分享。

論壇會(huì)議還表彰了23年度優(yōu)秀合作伙伴和個(gè)人，其中，北京禹宏信安科技有限公司榮獲了網(wǎng)信論壇最佳合作伙伴獎(jiǎng)，公司總經(jīng)理石磊作為獲獎(jiǎng)單位代表上臺(tái)領(lǐng)獎(jiǎng)。

我公司始終積極參與并支持【網(wǎng)信周末論壇】的各項(xiàng)工作，被分別授予“最佳合作伙伴獎(jiǎng)”和“最佳協(xié)作支持獎(jiǎng)”。公司總經(jīng)理石磊參加了會(huì)議并領(lǐng)取獎(jiǎng)項(xiàng)，在獲獎(jiǎng)感言中向?qū)＜液驼搲硎靖兄x，并將一如既往地支持論壇各項(xiàng)工作。

信息來(lái)源：北京日?qǐng)?bào)

首屆北京數(shù)字安全峰會(huì)在京召開(kāi)，北京禹宏信安科技有限公司創(chuàng)始人石磊就“大數(shù)據(jù)時(shí)代主機(jī)安全最佳安全實(shí)踐”講話。

2023年6月15日，在北京市科學(xué)技術(shù)委員會(huì)、中關(guān)村科技園區(qū)管理委員會(huì)指導(dǎo)下，由北京網(wǎng)絡(luò)信息安全技術(shù)創(chuàng)新產(chǎn)業(yè)聯(lián)盟聯(lián)合北京軟件產(chǎn)品質(zhì)量檢測(cè)檢驗(yàn)中心舉辦的首屆“北京數(shù)字安全峰會(huì)”在中關(guān)戰(zhàn)略。會(huì)議組織網(wǎng)絡(luò)與數(shù)據(jù)安全行業(yè)內(nèi)具有技術(shù)創(chuàng)新的解決方案服務(wù)商及用戶單村軟件園舉行。峰會(huì)以“安全技術(shù)創(chuàng)新應(yīng)用 護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展”為主題，全面推進(jìn)數(shù)字安全產(chǎn)業(yè)創(chuàng)新發(fā)展位，聚焦安全產(chǎn)業(yè)發(fā)展政策、新技術(shù)、新領(lǐng)域、新應(yīng)用，開(kāi)展數(shù)據(jù)、密碼、區(qū)塊鏈、隱私計(jì)算等前沿技術(shù)應(yīng)用探討，通過(guò)政府政策、行業(yè)政策與發(fā)展趨勢(shì)解讀、技術(shù)分享，充分挖掘行業(yè)發(fā)展新需求，展望市場(chǎng)新機(jī)遇，促進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。國(guó)家市場(chǎng)監(jiān)管總局、科技部、中國(guó)人民銀行、國(guó)家衛(wèi)健委、國(guó)家疾控局、北京市發(fā)改委、北京市規(guī)劃和自然資源委員會(huì)、中關(guān)村軟件園等來(lái)自交通、體育、金融、醫(yī)療、高校等相關(guān)政府部門(mén)和企事業(yè)的數(shù)百位嘉賓參加了此次峰會(huì)。

北京市科學(xué)技術(shù)委員會(huì)、中關(guān)村科技園區(qū)管理委員會(huì)二級(jí)巡視員劉航，中共北京市海淀區(qū)委員會(huì)副書(shū)記楊仁全出席峰會(huì)并發(fā)表致辭，中國(guó)科學(xué)院院士馮登國(guó)在峰會(huì)上以《機(jī)密計(jì)算：一類現(xiàn)實(shí)的數(shù)據(jù)使用安全技術(shù)》為主題發(fā)表了演講。峰會(huì)由北京網(wǎng)絡(luò)信息安全技術(shù)創(chuàng)新產(chǎn)業(yè)聯(lián)盟副秘書(shū)長(zhǎng)周愛(ài)民主持。

北京禹宏信安科技有限公司總經(jīng)理石磊先生在《大數(shù)據(jù)時(shí)代主機(jī)安全最佳安全實(shí)踐》主題演講中指出網(wǎng)絡(luò)安全挑戰(zhàn)合規(guī)的挑戰(zhàn)目前更加嚴(yán)峻，安全事件造成的影響越來(lái)越大，面臨傳統(tǒng)的網(wǎng)絡(luò)防御機(jī)制在網(wǎng)絡(luò)結(jié)構(gòu)、防御縱深、部署方式和運(yùn)維管理方面存在各種各樣的問(wèn)題，禹宏信安更多考慮整個(gè)安全架構(gòu)和安全思維都需要進(jìn)行進(jìn)化，也提出來(lái)要加強(qiáng)縱深防御。

我公司總經(jīng)理石磊先生的精彩演講贏得了一片掌聲，峰會(huì)上的各位領(lǐng)導(dǎo)和嘉賓也給予了我公司極大的肯定與認(rèn)可。

本次峰會(huì)的圓滿落幕，預(yù)示著北京禹宏信安科技有限公司發(fā)展的一個(gè)階段式的里程碑，同時(shí)也昭示著網(wǎng)絡(luò)安全領(lǐng)域的美好前景與未來(lái)。

5月20日，由網(wǎng)信周末論壇組委會(huì)、察右后旗人民代表大會(huì)常務(wù)委員會(huì)辦公室主辦的首屆內(nèi)蒙古烏蘭哈達(dá)火山草原網(wǎng)信周末論壇在察右后旗開(kāi)幕。旗人大常委會(huì)主任張秀清，旗委副書(shū)記、政法委書(shū)記閆富等相關(guān)領(lǐng)導(dǎo)出席開(kāi)幕儀式。原北京市公安局警務(wù)技術(shù)一級(jí)主任、正高級(jí)工程師段繼亮主持論壇開(kāi)幕儀式。

此次“網(wǎng)信周末論壇”的舉辦，是察右后旗推進(jìn)網(wǎng)信事業(yè)和數(shù)字化發(fā)展的一場(chǎng)“及時(shí)雨”，北京和內(nèi)蒙古的對(duì)口幫扶合作由來(lái)已久，京蒙發(fā)展血脈相連，通過(guò)此次論壇走進(jìn)察右后旗，圍繞網(wǎng)絡(luò)安全、數(shù)字化轉(zhuǎn)型展開(kāi)論壇活動(dòng)，以科技交流促旅游、促發(fā)展，促進(jìn)交往交流，提升當(dāng)?shù)厝竦木W(wǎng)絡(luò)安全意識(shí)，共同應(yīng)對(duì)網(wǎng)信安全問(wèn)題，推動(dòng)網(wǎng)信安全自主創(chuàng)新能力的提升，助力網(wǎng)信安全高質(zhì)量發(fā)展。

北京神州綠盟科技有限公司、北京禹宏信安科技有限公司、北京紅山瑞達(dá)科技公司受邀做主題演講。

北京禹宏信安科技有限公司創(chuàng)始人石磊，受邀在論壇向各位領(lǐng)導(dǎo)和與會(huì)專家做了“網(wǎng)絡(luò)攻防演練漫談”的主題演講，在紅隊(duì)評(píng)估、藍(lán)隊(duì)防守、攻防技巧和經(jīng)驗(yàn)等方面進(jìn)行了匯報(bào)，與會(huì)的領(lǐng)導(dǎo)和專家反響強(qiáng)烈，肯定了近些年禹宏信安在教育行業(yè)和網(wǎng)絡(luò)安全攻防方面取得的成績(jī)。

最后來(lái)自北京網(wǎng)絡(luò)安全與信息化領(lǐng)域，產(chǎn)、學(xué)、研、政、企等40余位專家學(xué)者圍繞網(wǎng)絡(luò)安全、數(shù)字化轉(zhuǎn)型等專題展開(kāi)研討，分享工作實(shí)踐、交流具體案例、探討未來(lái)趨勢(shì)。

一、前言

不知這個(gè)漏洞為什么會(huì)被命名為“ Heartbleed”（直譯：心臟出血），也許是漏洞因心跳包缺陷而命名，也許是代表最致命的傷害。但不管怎樣，見(jiàn)到OpenSSL爆出這樣的安全漏洞后，感覺(jué)心真的在滴血。。。談到這個(gè)漏洞危害就要先來(lái)了解下SSL與OpenSSL到底是個(gè)啥，對(duì)現(xiàn)如今的網(wǎng)絡(luò)安全有怎樣的意義，對(duì)我們的日常網(wǎng)上生活有什么影響。

二、SSL是個(gè)啥

我們平時(shí)打開(kāi)網(wǎng)頁(yè)地址前面顯示的http，代表該網(wǎng)頁(yè)是明文傳輸內(nèi)容的，包括我們的密碼與用戶認(rèn)證信息等，這樣就有了一個(gè)很嚴(yán)重的安全隱患，如果有人在我的電腦與網(wǎng)站中間的通信進(jìn)行監(jiān)聽(tīng)，就可以輕松獲取密碼，至篡改我們的敏感數(shù)據(jù)，所以明文傳輸數(shù)據(jù)是極不安全的！

SSL就這樣誕生了？非也，其實(shí)最開(kāi)始SSL的目的并不是對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，而是早期的電子商務(wù)階段，商家擔(dān)心用戶拍下商品后不付款，或者使用虛假甚至過(guò)期的信用卡，為了讓銀行給予認(rèn)證以及信任，SSL就在這種背景下誕生了。有點(diǎn)扯遠(yuǎn)了，只是想讓大家知道，除了后面我們提到的通信加密，SSL還承擔(dān)著信任認(rèn)證的功能。

SSL安全套接層（Secure Sockets Layer，SSL）是一種安全協(xié)議，在網(wǎng)景公司（Netscape）推出首版Web瀏覽器的同時(shí)提出，目的是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性保障，SSL在傳輸層中對(duì)網(wǎng)絡(luò)通信進(jìn)行加密。如網(wǎng)址前面顯示的是https，就代表是開(kāi)啟了SSL安全支持的站點(diǎn)。

經(jīng)過(guò)漫長(zhǎng)的改進(jìn)，SSL最終變成了現(xiàn)在我們看到的樣子，它提供的幾大安全保障：

1.加密用戶與服務(wù)器間傳輸?shù)臄?shù)據(jù)

2.用戶和服務(wù)器的合法認(rèn)證，確保數(shù)據(jù)發(fā)送到正確的服務(wù)器或用戶

3.保證數(shù)據(jù)的完整性，防止中間被非法篡改

一些對(duì)安全性要求很高的如：網(wǎng)絡(luò)銀行、電商支付、帳號(hào)登錄、郵件系統(tǒng)甚至VPN等等服務(wù)，在開(kāi)啟了SSL支持后，用戶與企業(yè)即可放心數(shù)據(jù)傳輸?shù)陌踩?，也無(wú)需擔(dān)心信息被他人截獲篡改，進(jìn)而成了信息安全保障最根本的基礎(chǔ)，成了安全“標(biāo)配”。

題外話：SSL是標(biāo)配，是最起碼的信息安全保障，但并不代表開(kāi)啟了SSL網(wǎng)站安全就上了幾個(gè)檔次，SSL并不會(huì)解決安全漏洞問(wèn)題（具體是那些問(wèn)題可以看下烏云上的案例）！以后在見(jiàn)到一些拿著SSL做安全噱頭的企業(yè)，就明白這其實(shí)說(shuō)明不了他的安全性有多好。

三、OpenSSL是個(gè)啥

OpenSSL簡(jiǎn)單來(lái)講就是套開(kāi)放源代碼的SSL套件，提供了一套基礎(chǔ)的函數(shù)庫(kù)，實(shí)現(xiàn)了基本的傳輸層資料加密功能。集成在一些開(kāi)源的軟件項(xiàng)目與操作系統(tǒng)中，用做SSL功能的調(diào)用。注意了，這次的“心臟出血”漏洞就是出現(xiàn)在OpenSSL上。

四、那這個(gè)漏洞有什么影響呢？

科普了一些基礎(chǔ)知識(shí)，現(xiàn)在開(kāi)始談?wù)劼┒匆约捌溆绊懓伞Ｖ坝刑岬絊SL已經(jīng)是當(dāng)今信息安全的基礎(chǔ)標(biāo)配了，可以說(shuō)所有的產(chǎn)品都信任OpenSSL帶來(lái)的SSL基礎(chǔ)支持，將信息傳輸與數(shù)據(jù)加密的安全性完全依賴OpenSSL，這樣帶來(lái)的隱患就是地基安全一旦動(dòng)搖，整棟大廈都面臨坍塌風(fēng)險(xiǎn)，而這種風(fēng)險(xiǎn)不再僅存于想象，他真的就發(fā)生了。。。

“心臟出血”漏洞技術(shù)性細(xì)節(jié)可以參考國(guó)內(nèi)首發(fā)的烏云知識(shí)庫(kù)（關(guān)于OpenSSL“心臟出血”漏洞的分析），漏洞可以隨機(jī)泄漏內(nèi)存中的64k數(shù)據(jù)，而且可通過(guò)重復(fù)讀取來(lái)獲取大量?jī)?nèi)存數(shù)據(jù)，OpenSSL內(nèi)存區(qū)域又是存儲(chǔ)用戶請(qǐng)求中的明文數(shù)據(jù)，其中可能包含源碼、登錄時(shí)提交的明文帳號(hào)密碼、登錄后服務(wù)器返回的合法認(rèn)證因素（cookies）、軟件序列號(hào)、機(jī)密郵件，甚至是可以突破一些系統(tǒng)保護(hù)機(jī)制的關(guān)鍵數(shù)據(jù)。

問(wèn)：手機(jī)上網(wǎng)或使用APP受到到影響么？

答：只要數(shù)據(jù)通信走了SSL，服務(wù)器存在漏洞的話是會(huì)受到影響的

問(wèn)：64K能存下多少敏感數(shù)據(jù)？

答：不清楚，但 64K 起碼能存下 32768 個(gè)漢字

問(wèn)：即使這樣，那泄漏的數(shù)據(jù)會(huì)對(duì)我們?cè)斐墒裁从绊懀?/p>

答：其實(shí)在我們平時(shí)上網(wǎng)購(gòu)物、登錄網(wǎng)站、與好友聊天的時(shí)候，為了保證用戶體驗(yàn)與安全性，咱們機(jī)密數(shù)據(jù)的交換與驗(yàn)證等操作都悄悄的或全部走了SSL安全通道，受到“心臟出血”漏洞的影響，咱們的機(jī)密數(shù)據(jù)就有很大幾率被黑客主動(dòng)獲取。來(lái)看幾個(gè)實(shí)際案例（影響對(duì)象以及敏感數(shù)據(jù)掩蓋處理）

可見(jiàn)雖然很多網(wǎng)站的賬戶登錄系統(tǒng)采用了SSL（HTTPS）的保護(hù)，但真正的登錄行為仍是密碼明文傳輸，過(guò)度信任了SSL。有些產(chǎn)品會(huì)提到自己有雙因素令牌驗(yàn)證功能，不受到影響，但不管是雙因素、三因素還是五因素，他只是個(gè)身份驗(yàn)證過(guò)程，成功后系統(tǒng)還是會(huì)給用戶返回認(rèn)證憑據(jù)，直接截獲這種認(rèn)證憑據(jù)即可繞過(guò)密碼限制，直接控制用戶帳號(hào)。

給人安全感的SSL現(xiàn)在成了泄漏敏感數(shù)據(jù)的元兇，用戶在企業(yè)修復(fù)漏洞前產(chǎn)生的SSL請(qǐng)求有很大幾率泄漏。一些網(wǎng)站與微博開(kāi)始曝光因漏洞泄漏的用戶帳號(hào)密碼，以及成功登錄與訂單信息的截圖。

五、我勒個(gè)去我該咋辦？

一般情況下SSL都被用于關(guān)鍵的登錄認(rèn)證、交易系統(tǒng)、信息存儲(chǔ)等位置，所以對(duì)于用戶來(lái)說(shuō)最重要的（也是黑客最關(guān)注的）數(shù)據(jù)就是密碼，這里建議4月7日后有登錄過(guò)各種網(wǎng)站的用戶，退出當(dāng)前帳號(hào)注銷會(huì)話并盡量修改密碼，也建議存在該漏洞的廠商對(duì)移動(dòng)類APP用戶強(qiáng)制重新授權(quán)。

不知各位是否在“拖庫(kù)”橫行的今天開(kāi)始嘗試使用一些“安全”的密碼管理軟件？比如K**Pass、L**Pass等，這些軟件會(huì)已安全之名將用戶的密碼存儲(chǔ)在云上，號(hào)稱各種加密處理，但訪問(wèn)這些保存的密碼，無(wú)非還只需要個(gè)帳號(hào)而已，而廠商肯定又為登錄開(kāi)啟了SSL。。。提醒大家警惕余震影響。

漏洞爆發(fā)后有安全團(tuán)隊(duì)隱晦的提出看法：“漏洞不僅存在443（SSL默認(rèn)端口）上，一些已OpenSSL為基礎(chǔ)的服務(wù)軟件都可能受到該漏洞影響”，“可能不僅僅OpenSSL庫(kù)存在此類安全隱患”等，烏云最新的一起漏洞報(bào)告已經(jīng)出現(xiàn)電子郵件系統(tǒng)的泄密案例（WooYun-2014-56344）。

企業(yè)除了用戶系統(tǒng)的OpenSSL升級(jí)外，還要注意使用的各種VPN、防火墻、負(fù)載均衡與郵件等設(shè)備，因?yàn)楹芏嘣O(shè)備封裝的操作系統(tǒng)默認(rèn)OpenSSL庫(kù)為存在漏洞的版本，所以均躺中，下面給出一些工具測(cè)試可能收到影響的版本號(hào)：

OpenSSL 1.0.1 到 1.0.1f (包括該版本) 存在漏洞

OpenSSL 1.0.1g 不存在漏洞

OpenSSL 1.0.0 以及分支版本不存在漏洞

OpenSSL 0.9.8 以及分支版本不存在漏洞

發(fā)行版Linux內(nèi)置的OpenSSL安全情況如何？烏云君已知的如centos6.4存在該OpenSSL漏洞，目前官方源已經(jīng)對(duì)1.0.1e分支版本進(jìn)行安全更新（1.0.1e-16.el6_5.7 測(cè)試不存在漏洞），其他白帽子提供的消息，debian（1.0.1e-2+deb7u5 測(cè)試不存在漏洞），烏云君繼續(xù)幫大家整理中。

有一個(gè)小插曲，烏云上某報(bào)告證實(shí)某些軟件的正版授權(quán)服務(wù)器存在OpenSSL內(nèi)存泄漏漏洞，導(dǎo)致大量正版合法序列號(hào)泄漏，可能會(huì)對(duì)購(gòu)買正版軟件的用戶與軟件企業(yè)造成一定經(jīng)濟(jì)損失，請(qǐng)注意！

六、后記

漏洞爆發(fā)后，以烏云漏洞報(bào)告平臺(tái)的報(bào)告情況來(lái)看，這幾乎是整個(gè)互聯(lián)網(wǎng)的浩劫。關(guān)于漏洞已經(jīng)存在好幾個(gè)月之類的八卦新聞就不要在意了，踏踏實(shí)實(shí)的處理好眼下的事情才最重要。烏云君仍在通知企業(yè)修復(fù)漏洞，該問(wèn)題也是烏云今后會(huì)重點(diǎn)關(guān)注的一個(gè)漏洞趨勢(shì)。

目前國(guó)內(nèi)大部分企業(yè)已迅速響應(yīng)修復(fù)漏洞，但不排除已經(jīng)有大量用戶數(shù)據(jù)泄漏，漏洞修復(fù)后還需注意信息泄漏帶來(lái)的“余震”影響！

隨著互聯(lián)網(wǎng)深入人們的生活，瀏覽器的發(fā)展更加豐富多彩，其種類多樣，版本更新速度也日益提高。與此同時(shí)，瀏覽器的安全問(wèn)題也備受關(guān)注。下面，我們就扒一扒主流瀏覽器實(shí)現(xiàn)了什么樣的安全機(jī)制。

一、背景
隨著互聯(lián)網(wǎng)的快速發(fā)展，種類繁多的瀏覽器也變得越來(lái)越復(fù)雜，它們不僅分析純文本和HTML，還包括圖像、視頻和其他復(fù)雜的協(xié)議和文件格式等。這些極大地豐富了瀏覽器的功能，給用戶帶來(lái)了方便和更好的瀏覽體驗(yàn)，然而也帶來(lái)了一系列的安全問(wèn)題，各種各樣的安全漏洞層出不窮，成為了黑客最易攻擊的對(duì)象之一。為此，瀏覽器廠商也在不懈努力，在積極修復(fù)漏洞的同時(shí)，也在瀏覽器安全機(jī)制方面做著努力，本文將展示和對(duì)比主流瀏覽器當(dāng)前對(duì)安全機(jī)制的實(shí)現(xiàn)狀況。

首先來(lái)看看最近全球?yàn)g覽器的市場(chǎng)份額，根據(jù)Net Market Share的統(tǒng)計(jì)數(shù)據(jù)，2016年7月份全球?yàn)g覽器的市場(chǎng)份額如下圖所示：Chrome占據(jù)市場(chǎng)份額最多，占50.95%，其次是占29.60%的IE，接下來(lái)依次是Firefox、Safari和Edge，這五款瀏覽器占據(jù)了全球98.27%的市場(chǎng)份額，其影響力非同一般。

圖1 2016年7月份全球?yàn)g覽器市場(chǎng)份額分布圖

二、瀏覽器安全機(jī)制簡(jiǎn)介
近來(lái)，我們對(duì)上述五款瀏覽器的安全機(jī)制做了初步的探究，發(fā)現(xiàn)其內(nèi)部的安全機(jī)制大同小異，下面就其主要的安全機(jī)制做一下簡(jiǎn)單介紹。

1、沙箱（Sandbox）
沙箱是一種隔離對(duì)象/線程/進(jìn)程的機(jī)制，控制瀏覽器訪問(wèn)系統(tǒng)資源的權(quán)限，從而達(dá)到保護(hù)用戶的系統(tǒng)不被網(wǎng)頁(yè)上的惡意軟件侵入、保護(hù)用戶系統(tǒng)的輸入事件(鍵盤(pán)/鼠標(biāo))不被監(jiān)視、保護(hù)用戶系統(tǒng)中的文件不被偷取等目的。最初的瀏覽器沙箱是基于Hook實(shí)現(xiàn)的，后來(lái)的Chrome沙箱是利用操作系統(tǒng)提供的一些安全機(jī)制實(shí)現(xiàn)的。

2、地址空間布局隨機(jī)化（ASLR）
ASLR是一項(xiàng)緩解緩沖區(qū)溢出問(wèn)題的安全技術(shù)。其原理是將進(jìn)程運(yùn)行所需的系統(tǒng)核心組件和對(duì)象在內(nèi)存中的分布隨機(jī)化。為了防止攻擊者利用在內(nèi)存中跳轉(zhuǎn)到特定地址的函數(shù)，ASLR技術(shù)隨機(jī)排列進(jìn)程的關(guān)鍵數(shù)據(jù)區(qū)域的位置，包括可執(zhí)行的部分、堆、棧及共享庫(kù)的位置。

3、JIT Hardening

JIT Hardening是防止對(duì)JIT引擎本身的濫用的機(jī)制。JIT引擎通常在可預(yù)測(cè)的地址空間中放置可執(zhí)行代碼，這無(wú)疑給攻擊者提供了可乘之機(jī)。只要攻擊者計(jì)算出可執(zhí)行代碼放置的地址，極有可能通過(guò)代碼覆蓋來(lái)進(jìn)行惡意活動(dòng)。因此，必須有一項(xiàng)類似于ASLR的技術(shù)來(lái)保護(hù)JIT引擎，即JIT Hardienng。JIT Hardening常用技術(shù)包括：代碼庫(kù)隊(duì)列隨機(jī)化、指令庫(kù)隊(duì)列隨機(jī)化、常量合并、內(nèi)存頁(yè)面保護(hù)、資源限制等。

4、數(shù)據(jù)執(zhí)行保護(hù)（DEP）
DEP是一種阻止數(shù)據(jù)頁(yè)執(zhí)行代碼的機(jī)制。將數(shù)據(jù)所在內(nèi)存頁(yè)標(biāo)識(shí)為不可執(zhí)行，當(dāng)程序嘗試在數(shù)據(jù)頁(yè)面上執(zhí)行指令時(shí)會(huì)拋出異常，而不是去執(zhí)行惡意指令。

5、緩沖區(qū)安全檢查（/GS）
/GS是一種不強(qiáng)制緩沖區(qū)大小限制的代碼常用技術(shù)。通過(guò)將安全檢查插入到已編譯代碼中完成，檢測(cè)某些改寫(xiě)返回地址的緩沖區(qū)溢出。

6、執(zhí)行流保護(hù)（CFG）
CFG是對(duì)CFI（控制流完整性）的一個(gè)實(shí)用性實(shí)現(xiàn)，是一種編譯器和操作系統(tǒng)相結(jié)合的防護(hù)手段，目的在于防止不可信的間接調(diào)用。對(duì)基于虛表進(jìn)行攻擊的利用手段可以有效防御。

7、附加組件簽名機(jī)制
附加組件簽名機(jī)制是Firefox43版本開(kāi)始正式采取的一項(xiàng)對(duì)其附加組件管理的機(jī)制。Mozilla 根據(jù)一套安全準(zhǔn)則對(duì)其附加組件進(jìn)行驗(yàn)證并為其“簽名”，需要簽名的類型包括擴(kuò)展，未被簽名的擴(kuò)展默認(rèn)被禁用。這一機(jī)制對(duì)阻止來(lái)自第三方的惡意擴(kuò)展起到了很好的作用。

8、W^X
W^X是“寫(xiě)異或執(zhí)行”（WriteXOR Execute）的縮寫(xiě)，是OpenBSD中富有代表性的安全特性之一。W^R內(nèi)存保護(hù)機(jī)制能夠讓網(wǎng)頁(yè)使用內(nèi)存寫(xiě)入代碼或執(zhí)行代碼，但不能夠同時(shí)進(jìn)行這兩種操作，可以阻止某些緩沖區(qū)溢出的攻擊。

9、MemGC
MemGC即內(nèi)存垃圾收集器(Memory Garbage Collector)，是一種內(nèi)存管理機(jī)制,由IE11的Memory Protector改進(jìn)而來(lái)，首次在EdgeHTML和MSHTML中使用，采用標(biāo)記清除(Mark-Sweep)算法對(duì)垃圾進(jìn)行回收，能夠阻止部分UAF（Use After Free）漏洞。

需要指出的一點(diǎn)是，上述幾種安全機(jī)制并不是瀏覽器獨(dú)有，有些機(jī)制，例如ASLR、/GS、CFG等，也被操作系統(tǒng)和編譯器廣泛采用。以上就是對(duì)幾種主要安全機(jī)制的簡(jiǎn)單介紹，不夠全面和詳盡，還請(qǐng)大神勿噴。

三、主流瀏覽器對(duì)安全機(jī)制的實(shí)現(xiàn)情況
對(duì)于前面提到的幾種瀏覽器安全機(jī)制，主流瀏覽器并不是全部實(shí)現(xiàn)了，具體情況如下表所示：

圖2 主流瀏覽器安全機(jī)制的對(duì)比情況表

由表可以明顯看出，除了Safari以外，其他四種瀏覽器均實(shí)現(xiàn)了前六種安全機(jī)制。而Safari不支持緩沖區(qū)安全檢查機(jī)制，未實(shí)現(xiàn)CFG執(zhí)行流保護(hù)機(jī)制但有資料顯示其實(shí)現(xiàn)了控制流完整性（CFI）。對(duì)于后面三種安全機(jī)制，附加組件簽名機(jī)制和W^X機(jī)制是Firefox瀏覽器獨(dú)有的，而MemGC機(jī)制是Egde瀏覽器獨(dú)有的。

在此，還需指出一點(diǎn)，雖然對(duì)某一安全機(jī)制有多個(gè)瀏覽器支持，但各個(gè)瀏覽器的實(shí)現(xiàn)方式及實(shí)現(xiàn)程度不盡相同。下面舉兩個(gè)例子加以說(shuō)明：

（1）雖然Edge瀏覽器和IE瀏覽器都實(shí)現(xiàn)了沙箱機(jī)制，但Edge瀏覽器將框架進(jìn)程也包含在了整個(gè)安全體系里面，權(quán)限更低，大大提高了安全性。

（2）Chrome和IE的沙箱機(jī)制對(duì)各種行為的限制也是不同的，圖3列舉了一些常見(jiàn)行為及Chrome和IE沙箱機(jī)制對(duì)其的限制對(duì)比情況：

圖3 Chrome和IE沙箱機(jī)制對(duì)部分行為的限制情況

總結(jié)
瀏覽器發(fā)展至今，已經(jīng)擁有比較成熟的安全機(jī)制，主要包括沙箱機(jī)制、JIT Hardening、地址空間布局隨機(jī)化、數(shù)據(jù)執(zhí)行保護(hù)、緩沖區(qū)安全檢查、執(zhí)行流保護(hù)、附加組件簽名機(jī)制、W^X、MemGC等。然而，瀏覽器的安全并不是已經(jīng)完全保障，各大瀏覽器廠商也在安全機(jī)制方面做著不懈的努力，期待著瀏覽器安全方面質(zhì)的提高。

參考文獻(xiàn)
https://www.netmarketshare.com/

AccuvantBrowserSecCompar_FINAL.pdf

http://www.freebuf.com/news/73858.html

https://wiki.mozilla.org/Security/Sandbox

https://developer.apple.com/safari/technology-preview/release-notes/

https://support.mozilla.org/zh-CN/kb/add-ons-signing-firefox?as=u&utm_source=inproduct

https://jandemooij.nl/blog/2015/12/29/wx-jit-code-enabled-in-firefox/

https://securityintelligence.com/memgc-use-after-free-exploit-mitigation-in-edge-and-ie-on-windows-10/

*本文原創(chuàng)作者：梅孜，本文屬FreeBuf原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃，未經(jīng)許可禁止轉(zhuǎn)載