台下十年，台上三秒：pwn2Own 2017首日中国战队大放异彩

全球黑客们的一大巅峰对决赛事Pwn2Own世界黑客大赛在加拿大盛大开赛。今年正值Pwn2Own大会的十周年，本届的黑客大赛吸引了包括中国、美国、德国等国家在内的共11个参赛战队，奖金更是高达数百万美金。

关于Pwn2Own大会 

Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI（ZeroDay Initiative）主办，谷歌、微软、苹果、以及Adobe等互联网行业巨头都对比赛提供支持，这些企业旨在通过黑客的攻击和挑战来完善自身产品的安全性。大赛自2007年举办至今，每年三月都会在加拿大温哥华举办的CanSecWest安全峰会上举行。

比赛项目及对应积分

2017年Pwn2Own共设置15个项目，根据比赛难度的不同，每一项设置了相应的积分和奖金。在3天所有赛程结束后，积分最高的参赛团队，将赢得“Master of Pwn”（破解大师）世界冠军称号，并获得65000个ZDI积分（约合25,000美元）的额外奖励。

Pwn2Own 2017战况速报

三国大战Pwn2Own黑客大赛，中国战队报捷

360安全战队首战告捷，仅用时3秒就攻破了Adobe Reader，成功赢得5万美元全额奖金和6分满分，成为本届赛事首支冠军团队。

作为Pwn2Own 2017的第一个挑战项目，Adobe Reader是全球流行的PDF阅读器，拥有数以亿计用户。本届比赛共有两支团队报名挑战AdobeReader，360安全战队率先出战。

比赛中，360安全战队使用了Adobe Reader漏洞和Windows 10漏洞的“组合拳”攻击：首先利用AdobeReader漏洞实现远程代码执行，再利用Win10系统的内核漏洞突破Adobe沙箱堡垒，在比赛中只要打开一个PDF文件就能成功控制电脑。

360安全战队3秒攻破Adobe Reader赢得本届Pwn2Own首个冠军

由于攻击代码质量极高，整个比赛过程仅用时3秒就顺利完成。经过Adobe、微软和主办方ZDI审核，360安全战队的攻击完美有效，赢得Adobe Reader项目最高级别的5万美元和6个积分奖励。

代表中国出征的腾讯安全战队在首日比赛中成功攻破微软Edge浏览器。

据专家介绍，Edge浏览器拥有抵御网络攻击方面的强能力——微软在Edge浏览器中设计了大量漏洞防御措施，再和Windows 10的强大安全措施结合在一起，极难对其进行漏洞攻击，被誉为是微软最安全的网页浏览器。同时，在Pwn2Own严苛的漏洞挖掘规则下，想要顺利挑战该项目难度很高。

腾讯安全Ether战队在Pwn2Own 2017成功攻破微软Edge浏览器

而由腾讯安全联合实验室玄武实验室组建的腾讯安全Ether战队是本次比赛中，第一支攻破微软Edge浏览器的团队，并获得该单项项目全额积分10分及八万美金奖金。

而玄武实验室负责人TK也在第一时间在朋友圈分享了他的感受：

长亭安全研究实验室，成为Pwn2Own历史上首个攻破Linux操作系统的团队。Linux，因为其安全性、稳定性和可定制性，一直成为诸多企业客户的选择，Google、NASA等世界一流机构赫然在列。长亭科技长期关注并研究企业安全，成为本届Pwn2Own赛场上，唯一一个，也是第一个攻破该系统的团队。

Pwn2Own国内战队过往战绩回顾

2015年11月11日，360手机卫士安全研究员龚广参加PacSec会议，在下午的Pwn2Own比赛有关移动安全的挑战中，龚广一举攻破安卓最新系统Nexus 6，并以赛场唯一一位成功攻破N6系统的白帽黑客的荣誉，受邀参加明年的Cansecwest大会。

2016年3月18日，代表中国出战的腾讯安全Sniper战队凭借总积分38分成为Pwn2Own史上第一个世界总冠军，并且获得这一顶级赛事史上首个“Master of Pwn”（世界破解大师）称号。

纵观近几届的Pwn2Own比赛，中国战队可谓捷报频出，虽然仅仅是台上的几秒破解，其实，背后是一个个安全研究人员夜以继日的研钻研和不断演练，“台上一分钟 台下十年功” ，而真正比赛时，那几秒钟的令人惊叹的“show”却是这些工作的一次集中闪光。

大咖们的参会体验

杨卿（360无线电硬件实验室的负责人）：今年的夹克很帅，比去年的睡袍帅的多。较之以前，比赛的项目增加了不少，其中虚拟机类的奖金和分数是最高的。中国的安全研究员都很努力，超越了德国和美国。希望以后pwn2own能增加无线通信协议类或iot类的比赛。