一年前我选择和几个朋友一起创业。那个时候手上已经有好几份薪水非常诱人的offer,不过能自己和信赖的朋友一起做喜欢的事情,我觉得更棒。
决定去BlackHat的时候已经是2015年6月,当时,BlackHat除了Arsenal以外所有的议题征集已经结束。也感谢当时的阴差阳错。我们的目的是想要给SQLChop找一块试金石,所以这150分钟的交流和现场测试对SQLChop非常有意义。
拉斯维加斯时间8月5日下午,我刚刚进入展位还在和公司的同事一起整理的时候,就看到人群蜂拥而至,吓得我赶紧整理思路开始讲解。
现场的大家对SQLChop十分感兴趣。尤其是ToolsWatch的负责人Ouchn,非常有趣的一个boy,自从看了我们的小视频之后一直关注着我们,强行要合影。当然,也有不少国内的同行前来捧场,非常感谢大家的支持。
在这150分钟里,我们做了什么呢?
1:发了几百份小礼品
拿到小礼品的人们总会把玩一会儿然后小心翼翼地装起来,看来全世界黑客都喜欢我们长亭科技准备的小灯,还写了一段bash脚本用OS X自带的小程序say来不停地讲“Free gift here”。
2:把SQLChop是干什么的,优势在哪里讲了好多遍
人群一波一波地来,就得一遍一遍地讲,虽然英语口语还算过得去,但有时候说到一些问题的时候还是会有些卡壳,还得多练习。
3:接受了多名黑客的徒手测试
在现场接受测试,这是一件风险很大的事,对全世界那么多优秀的黑客谈论防御,一不小心就会成为笑柄。
所幸SQLChop表现非常棒,这次的“试金”效果也很好。
“Quite different from the regex one”
“Awesome tool”
“It's very smart”
收到了很多的夸奖。
4:回答了几个问题
大家比较关心的几个问题,
Q: 能实时不?效率咋样?
A:能,单线程10000请求/秒。
Q:是靠正则实现的不?
A:不是不是,是用了词法分析和语法分析,通过近似算法实现了一个SQL语句片段分析引擎。
Q:太好了,去哪可以用?
A:http://sqlchop.chaitin.com
150分钟结束后,发现自己已经不会说中文了,十分感动。
有碰到前辈跟我讲“小伙子们不错啊,自己搞了一年就能把自己的产品带上BlakcHat”,但我看来,我们要走的路还有很长,我们也想给安全行业带来更多的技术改变。
当然,之前承诺会放出SQLChop的beta版可以前往http://sqlchop.chaitin.com/进行测试与下载。
SQLChop的深度剖析文章地址:http://blog.chaitin.com/sqlchop-the-sqli-detection-engine/