在BlackHat的150分钟

一年前我选择和几个朋友一起创业。那个时候手上已经有好几份薪水非常诱人的offer，不过能自己和信赖的朋友一起做喜欢的事情，我觉得更棒。

决定去BlackHat的时候已经是2015年6月，当时，BlackHat除了Arsenal以外所有的议题征集已经结束。也感谢当时的阴差阳错。我们的目的是想要给SQLChop找一块试金石，所以这150分钟的交流和现场测试对SQLChop非常有意义。

拉斯维加斯时间8月5日下午，我刚刚进入展位还在和公司的同事一起整理的时候，就看到人群蜂拥而至，吓得我赶紧整理思路开始讲解。

现场的大家对SQLChop十分感兴趣。尤其是ToolsWatch的负责人Ouchn，非常有趣的一个boy，自从看了我们的小视频之后一直关注着我们，强行要合影。当然，也有不少国内的同行前来捧场，非常感谢大家的支持。

在这150分钟里，我们做了什么呢?

1：发了几百份小礼品

拿到小礼品的人们总会把玩一会儿然后小心翼翼地装起来，看来全世界黑客都喜欢我们长亭科技准备的小灯，还写了一段bash脚本用OS X自带的小程序say来不停地讲“Free gift here”。

2：把SQLChop是干什么的，优势在哪里讲了好多遍

人群一波一波地来，就得一遍一遍地讲，虽然英语口语还算过得去，但有时候说到一些问题的时候还是会有些卡壳，还得多练习。

3：接受了多名黑客的徒手测试

在现场接受测试，这是一件风险很大的事，对全世界那么多优秀的黑客谈论防御，一不小心就会成为笑柄。

所幸SQLChop表现非常棒，这次的“试金”效果也很好。

“Quite different from the regex one”

“Awesome tool”

“It's very *** art”

收到了很多的夸奖。

4：回答了几个问题

大家比较关心的几个问题，

Q: 能实时不?效率咋样?

A：能，单线程10000请求/秒。

Q：是靠正则实现的不?

A：不是不是，是用了词法分析和语法分析，通过近似算法实现了一个SQL语句片段分析引擎。

Q：太好了，去哪可以用?

A：http://sqlchop.chaitin.com

150分钟结束后，发现自己已经不会说中文了，十分感动。

有碰到前辈跟我讲“小伙子们不错啊，自己搞了一年就能把自己的产品带上BlakcHat”，但我看来，我们要走的路还有很长，我们也想给安全行业带来更多的技术改变。

当然，之前承诺会放出SQLChop的beta版可以前往http://sqlchop.chaitin.com/进行测试与下载。

SQLChop的深度剖析文章地址：http://blog.chaitin.com/sqlchop-the-sqli-detection-engine/