一、团队介绍

盛邦安全烽火台实验室，专注于前沿Web安全攻防技术研究，主要研究方向包括：漏洞挖掘与分析技术、安全防御机制对抗技术、流行服务系统脆弱性利用技术、攻击溯源反制技术、数字资产威胁画像技术、大规模监控预警技术、网络空间生态研究技术等。烽火台实验室由一支多向发展的网络安全专家技术团队组成，致力于以攻击者视角诠释网络安全体系，关注攻防互促的多元生态发展，协助客户实现“以攻促防、以攻验防、以攻构防”的终极目标。

二、2022年荣誉奖项

1、漏洞挖掘和申报

截止2022年11月，烽火台实验室向CNVD报送漏洞3000余个，CNNVD报送漏洞300余个，CAPPVD漏洞（移动漏洞库）100余个，CICSVD漏洞（工控漏洞库）10余个，CITIVD漏洞（信创漏洞库）20余个，获取cve漏洞编号50余个。其中包含了cisco、三星、wordpress、joomla、d-link、阿里、通达信科、用友、银河麒麟等国内知名厂商的首发0day漏洞，获得了工信部颁发的“2022年度上半年支撑突出贡献单位”、“2022年度优秀漏洞治理合作单位”等荣誉。

2、技术研究成果分享

盛邦安全烽火台实验室发布了一系列高质量安全研究文章并在其公众号“Beacon Tower Lab”中进行分享，获得了广泛好评，其中2022年度备受关注的log4j2漏洞、spring4shell漏洞、windows域提权漏洞、cs-rce漏洞等技术文章均在同类安全分析文章中获得了较高关注度和阅读量。

3、漏洞检测工具分享

针对年度重要漏洞如log4j和spring4shell编写了定制化的漏洞自查工具并进行了分享，获得许多关注与好评。

三、2022研发贡献

1、API安全防护系统（RayAPI）

为盛邦安全RayAPI产品提供了设计方案，该新品入选IDC变革型技术曲线“API安全”技术推荐厂商。

2、弱口令检测系统（密码猎人RayHunter）

为盛邦安全RayHunter产品提供了设计方案和检测插件，该系统有别于传统的弱口令检测系统，以应用为维度提供了智能化的指纹识别和口令推演功能。

3、“如来神掌”攻击面探测平台

自研了基于红队视角下的资产暴露面探测平台，该平台有别于传统的资产探测平台，能够通过企业的组织架构、分支机构、泄漏的邮箱信息、源代码等信息多维度探测目标的攻击面，提供漏洞利用和社工钓鱼等多途径的攻击前置信息。

4、“万剑归宗”poc&exp管理平台

自研了poc&exp综合测试和管理平台，可以定制化进行poc的编写、录入和分析研究，兼容各类poc格式，并提供了漏洞验证环境自动生成等功能，有助于全方位进行漏洞poc&exp的管理。

5、邮件钓鱼检测平台

自研了模拟邮件钓鱼的检测平台，内置多类邮件钓鱼模版，能够有效对企业防社工意识进行测试，为测试者进行安全意识评级评分。

6、自适应绕防工具

自研了自适应的绕防工具，能够基于不同的参数点模拟不同的绕防策略和绕防payload，实现自动化绕防代码的生成。

7、暗网数据爬取平台

自研了暗网数据爬取的平台，基于暗网协议和暗网数据检索接口能够有效对暗网的数据进行定期监测和统计，分析企业在暗网上泄漏的敏感信息。

8、摄像头综合漏洞利用工具

自研了摄像头漏综合漏洞利用工具，内置300+摄像头相关的poc&exp和部分0day，覆盖市面上主流的摄像头厂商，能够对摄像头相关漏洞进行有效探测和利用。