作者：FloatingGuy 转载请注明出处：https://floatingguy.github.io/

2016 Black Hat重点记录

精品漏洞

Pwnie Awards 2016获奖名单揭晓

素有网络安全奥斯卡之称的Pwnie Awards正式公布各个奖项的归属。有关这个奖的分量就不必再多说了，我们直接来看获奖名单。

最佳服务器BUG奖（Pwnie for Best Server-Side Bug）：Cisco ASA IKEv1/IKEv2 Fragmentation Heap Buffer Overflow缓冲溢出（CVE-2016-1287）。传说中最有趣、技术上精制复杂的服务器端漏洞利用。

最佳客户端BUG奖（Pwnie for Best Client-Side Bug）：glibc getsddrinfo堆栈缓冲溢出（CVE-2015-7547）。

最佳提权BUG奖（Pwnie for Best Privilege Escalation Bug）：Widevine QSEE TrustZone Privilege Escalation（CVE-2015-6639），就是前一阵影响Android系统高通芯片TrustZone的漏洞。

最佳加密攻击奖（Pwnie for Best Crytographic Attack）：SSLv2 Crypto攻击（DROWN Attack）（CVE-2016-0800）。这个奖项是今年首度出现的，授予那些采用新奇的方式来打破加密系统的安全研究人员。

最炫Hack奖（Pwnie for Best Junk or Stunt Hack）：远程劫持高速公路上的Jeep——去年比较火热针对切诺基的远程攻击。这个奖的英文原名其实很有趣，各位可以体会以下，有关这个奖的描述是这样的：“授予研究人员，及他们的公关团队，还有参与其中的记者，为其产生的超高公众影响力，甚至可能致许多不懂技术的朋友和家人会惊慌失措打来电话的技术。”

最佳品牌奖（Pwnie for Best Branding）：Mousejack无线键盘注入BUG。这个奖授予话最大努力解释和宣传其发现的安全漏洞的企业。

史诗成就奖（Pwnie for Epic Achievement）：Tavis Ormandy（针对他去年侵入绝大部分反病毒程度而颁发）。又一个全新的奖项，听着都感觉很高端，这个奖专门颁给那些获得前所未有的“成绩”（notoriery）的研究人员。

最佳创新研究奖（Pwnie for Most Innovative Research）： Dedup Est Machina：Memory Deduplication as an Advanced Exploitation Vector（将内存重复数据删除作为高级利用向量，这是篇论文）。这个奖是颁给那些公布最有趣研究，即便研究还没实现的研究人员。

最过分夸大BUG奖（Pwnie for Most Over-hyped Bug）：Badlock（CVE-2016-0128）。这个奖颁给被媒体过分关注，但实际上根本就没那么危险的安全漏洞。

最佳歌曲奖（Pwnie for Best Song）：Cyber-lair，来自Katie Moussouris。

史诗级0wnage奖（Pwnie for Epic 0wnage）：Juniper Backdoor后门。此奖授予对企业或产品产生极大危害的研究人员或安全漏洞。

终身成就奖：Mudge，Peiter C.Zatko。长期以来从事漏洞研究的教育专家、在安全行业有较大影响力，先前曾领导DARPA网络安全项目。

Apple 漏洞奖励计划