在BlackHat的150分钟

安全
一年前我选择和几个朋友一起创业。那个时候手上已经有好几份薪水非常诱人的offer,不过能自己和信赖的朋友一起做喜欢的事情,我觉得更棒。

一年前我选择和几个朋友一起创业。那个时候手上已经有好几份薪水非常诱人的offer,不过能自己和信赖的朋友一起做喜欢的事情,我觉得更棒。

决定去BlackHat的时候已经是2015年6月,当时,BlackHat除了Arsenal以外所有的议题征集已经结束。也感谢当时的阴差阳错。我们的目的是想要给SQLChop找一块试金石,所以这150分钟的交流和现场测试对SQLChop非常有意义。

拉斯维加斯时间8月5日下午,我刚刚进入展位还在和公司的同事一起整理的时候,就看到人群蜂拥而至,吓得我赶紧整理思路开始讲解。

现场的大家对SQLChop十分感兴趣。尤其是ToolsWatch的负责人Ouchn,非常有趣的一个boy,自从看了我们的小视频之后一直关注着我们,强行要合影。当然,也有不少国内的同行前来捧场,非常感谢大家的支持。

在这150分钟里,我们做了什么呢?

1:发了几百份小礼品

拿到小礼品的人们总会把玩一会儿然后小心翼翼地装起来,看来全世界黑客都喜欢我们长亭科技准备的小灯,还写了一段bash脚本用OS X自带的小程序say来不停地讲“Free gift here”。

2:把SQLChop是干什么的,优势在哪里讲了好多遍

人群一波一波地来,就得一遍一遍地讲,虽然英语口语还算过得去,但有时候说到一些问题的时候还是会有些卡壳,还得多练习。

3:接受了多名黑客的徒手测试

在现场接受测试,这是一件风险很大的事,对全世界那么多优秀的黑客谈论防御,一不小心就会成为笑柄。

所幸SQLChop表现非常棒,这次的“试金”效果也很好。

“Quite different from the regex one”

“Awesome tool”

“It's very smart”

收到了很多的夸奖。

 

4:回答了几个问题

大家比较关心的几个问题,

Q: 能实时不?效率咋样?

A:能,单线程10000请求/秒。

Q:是靠正则实现的不?

A:不是不是,是用了词法分析和语法分析,通过近似算法实现了一个SQL语句片段分析引擎。

Q:太好了,去哪可以用?

A:http://sqlchop.chaitin.com

150分钟结束后,发现自己已经不会说中文了,十分感动。

有碰到前辈跟我讲“小伙子们不错啊,自己搞了一年就能把自己的产品带上BlakcHat”,但我看来,我们要走的路还有很长,我们也想给安全行业带来更多的技术改变。

 

当然,之前承诺会放出SQLChop的beta版可以前往http://sqlchop.chaitin.com/进行测试与下载。

SQLChop的深度剖析文章地址:http://blog.chaitin.com/sqlchop-the-sqli-detection-engine/

责任编辑:蓝雨泪 来源: 长亭科技
相关推荐

2018-05-17 09:15:25

Linux发行版root密码

2012-06-28 10:26:51

Silverlight

2017-01-10 09:07:53

tcpdumpGET请求

2018-03-12 21:31:24

区块链

2023-11-03 09:41:16

2013-11-04 11:02:57

2013-11-29 13:55:37

2020-06-15 14:40:30

架构运维技术

2023-08-23 07:21:44

JsonSchema测试

2009-11-16 10:53:30

Oracle Hint

2013-09-17 09:49:29

程序集读懂程序编程

2013-05-03 10:57:09

泛型泛型教程

2016-09-13 20:58:41

MySQ基础入门Sql

2020-06-16 08:47:53

磁盘

2021-07-15 06:43:11

Bash调试脚本

2022-06-17 08:05:28

Grafana监控仪表盘系统

2018-03-12 14:37:50

区块链比特币架构

2024-06-25 12:25:12

LangChain路由链

2024-06-19 10:41:06

2024-06-21 15:03:00

点赞
收藏

51CTO技术栈公众号