首页 未命名正文

在BlackHat的150分钟

访客 未命名 2022-04-10 978 1 BlackHatSQLChop

一年前我选择和几个朋友一起创业。那个时候手上已经有好几份薪水非常诱人的offer,不过能自己和信赖的朋友一起做喜欢的事情,我觉得更棒。

决定去BlackHat的时候已经是2015年6月,当时,BlackHat除了Arsenal以外所有的议题征集已经结束。也感谢当时的阴差阳错。我们的目的是想要给SQLChop找一块试金石,所以这150分钟的交流和现场测试对SQLChop非常有意义。

拉斯维加斯时间8月5日下午,我刚刚进入展位还在和公司的同事一起整理的时候,就看到人群蜂拥而至,吓得我赶紧整理思路开始讲解。

现场的大家对SQLChop十分感兴趣。尤其是ToolsWatch的负责人Ouchn,非常有趣的一个boy,自从看了我们的小视频之后一直关注着我们,强行要合影。当然,也有不少国内的同行前来捧场,非常感谢大家的支持。

在这150分钟里,我们做了什么呢?

1:发了几百份小礼品

拿到小礼品的人们总会把玩一会儿然后小心翼翼地装起来,看来全世界黑客都喜欢我们长亭科技准备的小灯,还写了一段bash脚本用OS X自带的小程序say来不停地讲“Free gift here”。

2:把SQLChop是干什么的,优势在哪里讲了好多遍

人群一波一波地来,就得一遍一遍地讲,虽然英语口语还算过得去,但有时候说到一些问题的时候还是会有些卡壳,还得多练习。

3:接受了多名黑客的徒手测试

在现场接受测试,这是一件风险很大的事,对全世界那么多优秀的黑客谈论防御,一不小心就会成为笑柄。

所幸SQLChop表现非常棒,这次的“试金”效果也很好。

“Quite different from the regex one”

“Awesome tool”

“It's very *** art”

收到了很多的夸奖。

4:回答了几个问题

大家比较关心的几个问题,

Q: 能实时不?效率咋样?

A:能,单线程10000请求/秒。

Q:是靠正则实现的不?

A:不是不是,是用了词法分析和语法分析,通过近似算法实现了一个SQL语句片段分析引擎。

Q:太好了,去哪可以用?

A:http://sqlchop.chaitin.com

150分钟结束后,发现自己已经不会说中文了,十分感动。

有碰到前辈跟我讲“小伙子们不错啊,自己搞了一年就能把自己的产品带上BlakcHat”,但我看来,我们要走的路还有很长,我们也想给安全行业带来更多的技术改变。

当然,之前承诺会放出SQLChop的beta版可以前往http://sqlchop.chaitin.com/进行测试与下载。

SQLChop的深度剖析文章地址:http://blog.chaitin.com/sqlchop-the-sqli-detection-engine/

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。