北京時間4月13日，歐洲最大的黑客大會Hack in the Box(HITB)在荷蘭阿姆斯特丹舉辦，剛剛在Pwn2Own黑客大賽上獲得總冠軍的360Vulcan團隊亮相HITB，帶來了“Chakra引擎的秘密：十種方式破解Edge”的議題，分享了他們通過代碼審計挖掘20余枚Edge瀏覽器漏洞的經驗，并首次公開了獲得微軟“賞金獵手”(Mitigation Bypass)項目獎金的秘密武器。

　　圖：360Vulcan團隊在HITB現場演講

　　瀏覽器漏洞是非常有價值和影響力的攻擊面，雖然Edge一直以安全性著稱，但白帽子們也必須爭分奪秒地發現未知威脅，才能防止不法黑客鉆空子。360Vulcan團隊是最早關注Edge安全的團隊之一，在POC、Syscan等安全峰會上都曾分享過瀏覽器的前沿研究成果。

　　Chakra引擎是微軟下一代的開源腳本引擎，360Vulcan團隊通過代碼審計，累計發現20多個安全漏洞，并實現以多種不同的方式攻破Edge瀏覽器。在議題中，360Vulcan介紹了Chakra引擎相較于老牌IE腳本引擎的新特點，并從程序開發者的角度探索了新的攻擊思路。

　　微軟一直鼓勵研究人員報告其產品漏洞，還特別推出賞金計劃專門為Mitigation Bypass(繞過系統安全機制的攻擊技術)提供獎金。2016年，微軟共修補漏洞500余枚，但獲得賞金的只有12名研究人員，360Vulcan團隊的成員劉龍就是其中之一。在HITB上，他們首次公開了獲得獎金的秘密武器，和國際著名的安全專家共同探討信息安全新課題。

　　360Vulcan團隊作為360安全衛士的攻防研究團隊，除了屢次登上各大安全會議展現硬實力外，還在黑客大賽中取得了不凡的成績，創造了亞洲首次攻破IE和Chrome，全球首破VMware等戰績，在今年的Pwn2Own中，他們又攻破了基于Win10的Edge瀏覽器并實現VMware

　　虛擬機逃逸，拿下Pwn2Own有史以來的最高單項得分，并最終獲得Master of Pwn的總冠軍。

　　HITB是歐洲規模最大、水平最高的信息安全會議，每年在荷蘭阿姆斯特丹和馬來西亞吉隆坡舉辦兩次。據了解，參會議題需要經過申報、評選等程序，只有具有引領性的前沿核心技術，以及在網絡安全領域最受尊重的研究者才能入選該會議。國內共有三個議題登上了HITB的舞臺，除了360Vulcan團隊外，專注于無線電安全研究的360Unicorn Team以及獨立安全研究員洪宇也分別登臺演講。