【51CTO.com 獨家報道】3月18日在溫哥華舉辦的CanSecWest黑客大賽如火如荼的開始之后，網上出現了很多相關賽事的報道。如“黑客5秒鐘攻破Mac系統 Safari是罪魁禍首”和“黑客大賽曝Safari、IE8與Firefox零日攻擊”等。51CTO也在之前為網友們提供了介紹和時間表，詳情請見：“http://netsecurity.51cto.com/art/200902/110496.htm”

到底今年的大賽到底準備了那些系統和軟件讓大家來測試和攻擊？到底準備了那些猛料？我們來看看以下來自51CTO記者的報道。

PWN2OWN 2009

在經過多次討論和研究之后，PWN20WN比賽的最終安排如下：

瀏覽器和聯合測試的平臺

索尼VAIO - Windows 7（51CTO編者按：去年也是索尼VAIO。）

IE8
Firefox
Chrome

蘋果機 - （這個不用說啥系統了吧）

Safari
Firefox

第一天：默認不安裝額外插件，用戶去連接。

第二天：安裝flash, java, .net, quicktime。用戶去連接。

第三天：安裝像Acrobat Reader那樣的大眾軟件，用戶去連接。

任務？- 在應用程序的環境中執行代碼。(51CTO編者按：提權溢出之類的)

--------------------------------------------------------------------------------

電話(和其他相關的測試平臺)

黑莓（TBA）

谷歌Android手機（G1開發測試版）

蘋果iphone手機（2.0正式版）

Nokia/Symbian（機型N95）

Windows Mobile (宏達 Touch)

第一天

SMS 短信

MMS 彩信

Email 電子郵件（只看收取的）

wifi 無線，如果默認開啟的話

bluetooth藍牙，同上

Radio 無線接收器

第二天

電子郵件/短信/彩信(只可以讀取-不可以有間接行為)

無線保持啟動

藍牙保持啟動（默認不接受配對。耳機是配好的。配對過程不可見。）

第三天

在默認應用程序用戶界面的一個層面

藍牙保持啟動（默認不接受配對。耳機和滿足以上要求的其他設備是配好的。配對過程不可見。）

任務？必須去實現……

1.造成信息丟失（用戶數據）

2.造成財務損失

51CTO編輯觀察：

首先，對老外能舉辦這類真刀真槍測試產品的活動表示贊揚。大致看了一下，基本上國外頂尖安全廠商全部參與。這次的大贏家是德國人Nils，這哥們快把所有主流瀏覽器都破壞了個遍。成功收獲15000美元和一臺筆記本電腦。上屆冠軍Charlie Miller在10秒內拿下Safari，順利收獲5000美元和一臺蘋果筆記本。相對來說，智能手機的安全性還是比較經受考驗的，沒有出現30秒內被攻破的事情。

事實證明，世界上并不存在絕對安全的瀏覽器，以前說什么用Firefox不會中毒這樣的事情，很遺憾只是YY。這一年來Firefox的漏洞甚至超過其他瀏覽器的總和，雖然它的修補速度夠快。在51CTO記者截稿前，谷歌Chrome的表現似乎足夠堅挺。但之前爆的漏洞也不少。筆者認為暫時的未攻破有以下幾點原因：

1.相對Firefox和IE8、Safari之類瀏覽器來說，谷歌chrome本身的代碼量就少，說是個精悍的瀏覽器內核都不為過。

2.它真的是足夠新了，目前還算是“非主流”（51CTO編者按：Windows默認IE，MAC默認Safari，Linux默認Firefox。Chrome雖系出名門，但要想雄霸一方尚需時日）其他瀏覽器都至少出了三代，它最近才出2.0beta，而且還已經是升的非常非常勤了。

3.Google設計chrome的初衷就是，除了本地的管理員以外，普通用戶也可以不限使用。加上沙盒(sandbox)技術，讓它的安全性顯著提高，換句話說，即使發現了chrome的漏洞，駭客也只有很小的權限，無法造成很大的破壞。

當然，黑客們找到Chrome新的攻擊方式只是時間問題，我們可以拭目以待。

希望我們國家也能盡快出現此類活動，并對國內的信息安全研究給予支持和良好導向。這類活動不僅能為社會發掘更多的技術天才，更是能有效推進我國的信息安全產業發展。有攻才有防，有防才有保障。將更多的安全人才引向“白色產業鏈”，避免讓更多的優秀人才戴上“黑帽”，這是好事，更是值得去做的事。

【51CTO.com 獨家報道，轉載請注明出處及作者！】

【編輯推薦】

1. 獲勝黑客談Mac OS X、Chrome、Firefox
2. Google的云計算，你真的安全嗎？
3. 自己動手打造公司內網監管利器
4. 利用HTTP-only Cookie緩解跨站點腳本攻擊