乌云峰会:一场白帽子的盛会
白色是最纯粹的颜色,没有一丝杂色,哪怕是掉在上面一粒灰点也能立马呈现,所以白色的世界里不允许有半点污点。
昨天,乌云大会分论坛的最后一个环节讨论了近期发生的一件大事——世纪佳缘事件。
来自中科院软件研究所的研究员丁丽萍、江苏省公安部网络安全专家童瀛、中国互联网协会信用评价中心法律顾问赵占领、知名互联网公司首席安全官陈洋、乌云创始人方小顿、乌云核心白帽子张瑞东、TK教主、安全牛主编李少鹏参与了该环节的讨论。
大家就白帽子以后如何去做测试,如何才能不逾越法律红线进行了激烈的讨论。
TK教主表示,常在河边走很容易就湿鞋,但如果你熟知法律边界,知道有一条不可触碰的高压线摆在那,你就可以做到常在河堤走,永远不湿鞋。
其实世纪佳缘事件并没有打击白帽子们的积极性,不信请看今天白帽子们的热情。
一个只影响有钱人的漏洞
7月9日,乌云大会go on,首先出场的是乌云排行第一的白帽子猪猪侠,技术至深的他早已红遍安全圈,今天他带来的也是纯粹的技术干货。
旧时代把人的身份分为了三六九等,最上层无疑是地位最高、相对富裕的人士,今天猪猪侠特意找了一个只影响有钱人的漏洞——SSRF。SSRF 是ServerSide Request Forgery 的简写,允许 Web Interface 请求受保护网络内的资源。
现场猪猪侠详细介绍了16种SSRF利用姿势,全是一般人想不到、并且触手可用的技能。
这个议题对于不懂技术的人员来说,如同在听天书;但是对于技术爱好者而言,绝对是醍醐灌顶的洗礼。
未知攻,焉知防?
三好学生& Evi1cg分享了后渗透阶段的攻防对抗,将渗透过程形象描述成:
拥有各种奇技淫巧、猥琐姿势的三好学生和 Evi1cg还分享一个全新的攻击技术——无文件攻击方法,它可以绕过终端防护手段。具体的绕过方法有:Powershell、js、mshta、sct、wsc。
天外飘来的声音
这是一个神秘时刻,没人知道接下来这位演讲者是谁,来自哪里,也不知道下一秒他会做什么。唯一知道他的声音很性感,他是众多路人甲中的一员!
PPT上赫然显示了几个大字:黑产是什么?相信很多人都能立马回答出,黑产就是盗号、倒卖数据库、盗刷***等。传统的盗刷***需要知道受害者***号、密码、手机验证码,但是新式攻击手法已经不需要这些,他们只需要受害者手机号、姓名、一台电脑,几部手机即可搞定一切!
神秘来客现场演示了黑产操作,盗刷别人***,并且表示如果他愿意,可以分分钟转走绵羊墙上滚动出现的用户***中的所有存款。现场参会人员直呼警察叔叔快来抓人,这个人是做黑产的!
还记得XcodeGhost吗?
去年,苹果官方放出了一个数据,全球已经卖出10亿iOS设备。苹果设备之所以那么畅销,不仅仅是大家觉得拿着苹果显得逼格高,还有一个原因是我们普遍认为它比较安全。今天来自阿里团队的安全工程师蒸米会告诉你,苹果设备并没有比安卓设备安全!比如去年9月份发生的XcodeGhost事件,即便是没有越狱的苹果设备同样可能会感染病毒!
江湖二哥实力认证
无声信息技术成员里女粉丝最多的乌云白帽子 gainover ,江湖人称二哥,也是一位跨行业的高手,他曾经是一位生物研究工作者。此次分享的是 《Play with pseudo-Protocols》。
伪协议在一些客户端软件中被广泛使用,用以提供一些便捷的功能。然而,设计上的考虑不周或应用自身缺陷往往会使得伪协议成为攻击的入口点,二哥 gainover 带着若干实际案例来与大家聊一聊与伪协议有关的客户端应用安全问题。
小时候还蛮好看的呆子不开口
一言不合就扔了个message,一句不说就发了一张北京实时路况图!
乌云平台知名白帽子呆子不开口张口就是段子,幽默诙谐的风格很招大家喜爱。不要以为他只会讲段子,事实上,他讲起技术来更是技高一筹。今天他主要讲了一个postmessage 相关安全问题,可能会导致被xss、信息泄露、账户劫持等。
如果他给你发了一个message,你可要三思而后行,不要随意点开,一不小心他就进入了你的微博后台,或者拿到了你家的地理位置。
这真的不是在国外
相信大多数的白帽子都有一个困惑,花了一个通宵挖出一个漏洞,赶紧提交给厂商,但是却被告知已经有人提交了,也就是说一夜的功夫白费了。
越洋而来的日本白帽子Muneaki Nishimura给大家分享了一些有效规避这种状况的方法,白帽子们可以利用这些技巧在最短时间挖最高质量的洞,从而拿到最高的漏洞奖金。
技巧:
来自美国的ZDI公司的两位安全研究员Jasiel& Abdul讲解了近几年的漏洞发展趋势。安全研究员找到漏洞之后会怎样处理呢,一种方式是放到黑市上去卖,一种方式是在灰市上买卖,当然还有一种方式就是提交给漏洞平台。
谁说女子不如男
宝岛台湾的Hitcon girls创始人用自己实际行动证明了女生也可以和男生争饭碗,被质疑,被轻视,不要紧,勇敢迈出第一步就已经成功了!
上海交通大学密码学与计算机安全实验室的博士生刘慧分享了其对密码学的深入研究,让在坐的众多男生也赞叹不已!
截止至7月9日17点30分,最后一个议题结束,本届乌云大会也到了尾声。参会的小伙伴们个个是满载而归,收获了足足的干货。
技术还在,初心未远!乌云大会,我们明年见!
转载至https://www.secpulse.com/archives/48515.html
乌云峰会:一场白帽子的盛会相关推荐
- 猿学~黑客、红客、白帽子之间的技术较量,为什么大公司都有黑客团队?
[全栈开发者2017年04月14日讯]QQ号.信用卡密码.企业核心数据库,在地下黑色产业链上,互联网上的一切信息都可能成为黑帽子黑客牟利的工具.处于防御姿态的白帽子黑客在与黑帽子黑客的较量中,赢一次不 ...
- 如何评价国内SRC纷纷上线“白帽子协议”?
2017年6月1日21:21分 某监狱里,对话如下: 犯人A:你们都是怎么来的? 犯人B:我是XX漏洞平台挖漏洞不小心进来的. 犯人C:我是XX平台路人甲,输错命令了rm -rf / (批量删除) 犯 ...
- 乌云飘散后,一群白帽子这样成长
本文作者:雷锋网网络安全专栏作者,李勤. 乌云飘散,风铃安全这个白帽子队伍突然慌了. 2016年7月20日,是让 Snake 和黑色键盘此生都难以忘记的日子. 这一天,乌云平台宣布暂时关闭后,再也没有 ...
- 聚焦2017网络安全生态峰会 网络安全法时代白帽子如何安全成长
白帽子是什么? 提及白帽子,可能许多人不知所云.但是说到黑客,大家立马就会想到那些十指在键盘上翻飞,肆意的翻越防火墙获取信息,可以轻而易举的敲出一串代码让目标机器冒起一阵黑烟,掌握高超的计算机技术的黑 ...
- 乌云和漏洞盒子停业整顿:白帽子被抓是导火索?
"袁炜事件"可能成为中国"白帽子"黑客江湖的转折点. 7月20日凌晨,中国最大漏洞报告平台乌云网(WooYun)突然无法访问.网站公告称,乌云及相关服务将升级, ...
- 这群白帽子从小学习技术,现在已经是黑客大神了!
[黑客联盟2017年04月24日讯]乌云飘散,风铃安全这个白帽子队伍突然慌了. 2016年7月20日,是让 Snake 和黑色键盘此生都难以忘记的日子. 这一天,乌云平台宣布暂时关闭后,再也没有回来. ...
- 悬镜AI携手指尖安全《我是白帽子》系列活动进行中
在BCS安全峰会来临之前悬镜AI携手指尖安全为一直支持悬镜AI 的粉丝们带来了一系列的福利活动,即日起在指尖安全官网和悬镜AI公众号皆可参与活动. 福利一览 福利一:BCS安全训练营免费学习机会 福利 ...
- 白帽子守护网络安全,高薪酬成大学生就业首选!
漏洞一直是威胁网站安全的最重要因素.2015年,12306.携程.网易.社保系统等用户信息泄露漏洞.今年4月Struts2漏洞爆发,大量网站中招--频发的系统漏洞隐患让网络安全问题愈发受到关注和重视. ...
- 白帽子讲Web安全读书笔记
Part1:安全的发展,或者说,黑客的发展 黑客是什么? 互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了. "root"对黑客的吸引,就像大米对老鼠,美女对色狼 ...
最新文章
- redmine mysql配置_Redmine安装指南一:railsinstaller+apache+mysql(推荐)
- 怎样找出插件的api地址_百度云盘免登陆高速下载,调用度云简易分享地址提取在线工具...
- turbolinux mysql 5.0 cluste,Debian -- 新聞 -- Debian GNU/Linux 5.0 發布
- python官网的软件好用吗-为何强烈不推荐去学python?
- JavaScript 技术篇 - js在一个元素节点下包含多个text文本情况下的指定文本提取方法
- 【控制】《多无人机协同控制技术》周伟老师-第6章-基于预测控制的无人机编队运动控制策略
- hihocoder #1388 : Periodic Signal NTTFFT
- ASP.NET安全[开发ASP.NET MVC应用程序时值得注意的安全问题](转)
- java chat_使用 Java 创建聊天客户端-1
- redis实现轮询算法_【07期】Redis中是如何实现分布式锁的?
- 男人该知道的人生感悟(图)
- LeetCode 243. 最短单词距离
- linux怎样自动检查link文件_怎样理解和识别 Linux 中的文件类型 | Linux 中国
- 从 0 到 1,高德 Serverless 平台建设及实践
- JUnit5 测试套件示例
- linux mint 18.3浏览器,在Ubuntu 18.04/Linux Mint 19中安装Chromium浏览器的方法
- IOS 公共类-数字处理
- 智能优化算法:蝠鲼觅食优化算法 - 附代码
- python风控建模培训
- simplescalar自动安装