白帽大会资料下载 | 让技术自生长

2018/06/22 14:50
阅读数 44

大会介绍

阿里云先知每年邀请来自世界各地的知名研究人员分享他们的最新发现与安全经验,向大家分享和展示全新的技术世界。

对于大会我们有着自己的态度,我们希望维持黑客技术大会的传统,对议程内容要求严谨,不带商业色彩同时具备高水准。使每一位对安全技术有兴趣的朋友,无论是安全专家或入门新手都得以在这场盛会中有所收获,尽兴而归。

精彩回顾

16号早上9:00,一大波热情高涨的同学已经提前到达会议现场,期待着新一届的白帽大会开启。

b55c26813e874d863ca923dd7a3979a0acc88d2f

上午9:30,600-700人的会场座无虚席,会议正式开始。

b709757bb620a87435564a8e9847c32fcc3b934f

大会开始后,首先迎来了道哥吴翰清的开场演讲,他介绍了自己为什么投身去建设上海城市大脑,同时给白帽子们提了一个建议:安全人员不要给自己设置边界,年轻人别太束缚自己,喜欢就去做,敢想敢做才能改变这个世界!

f8d7324e67e13a1c349b923134fec6b9154211b2

然后猪猪侠同学介绍了先知过去一年的成绩,先知9000位实名认证白帽子,去年总计为1200家企业提供安全众测服务,为企业发现超过38000个漏洞,间接避免了15亿的经济损失。

313aa02974d7e9b68b266543bc927681b6b9f33e

并在现场带来了先知的三个新计划

d47e62d2b349aca45e42305ed6714efbe5ed61d9先知通用漏洞计划
d47e62d2b349aca45e42305ed6714efbe5ed61d9先知红队成立(与阿里专家联合组队)
d47e62d2b349aca45e42305ed6714efbe5ed61d9众测101计划(众测技巧脱敏分享)

01 macOS 上的逻辑提权漏洞

在会议临近的前一个晚上,先知君亲眼目睹了菜丝同学,在马路上修改PPT,凌晨还在彩排现场用IDA调漏洞,只为给大家带来精彩的技术分享。

b226b1c47e8ee629c74ab05df4a97340d415bbf2

02 弑君者Kingslayer:供应链攻击前餐

redrain同学抑扬顿挫、此起彼伏的演讲风格,让我们身临其境般的走入了一场宏大的战争故事之中。他的最终溯源结果让我们知道,多起供应链的攻击事件,以及 Schoolbell 跟多起安全行为都同出一辙,里面有着深深不可告人的秘密。

3fcb4b665e4fbcf4f9387aa1c06b182f9ce5f77d

03 代码审计点线面实战

jkgh006同学一上台,二话不说就是一堆很硬的干货砸给参会者们,这种简单粗暴的方式,先知君非常喜欢。好多技术点都能成为众测的提款机,具体细节待围观者们自行挖掘。现场有不少识货的同学,都赶紧的拍了下来。

f4c5721a5b1ef6d575214d11881f36cef091a570

04 边信道硬件攻击实战

狗汪汪在会议一开始前,就给先知君秀了一波操作,多个视频直接演示了电磁泄露隐患、时序攻击、毛刺注入Glitch等漏洞,那个提款机的漏洞演示,看得真是意犹未尽。最后的总结:100%安全的系统并不存在。

5023646253e1e31ef55071ff959c4549f5d7a926

05 从一个脆弱点到串起整个攻击面

Orange在web漏洞利用方面的知识链之深,让人叹服。一个惊艳分号,让人顿时想说出一句粗话:“哇靠,还能这样!”,服气。Spring Framework 0day - CVE-2018-1271 和 Bynder 远程代码执行漏洞,让我们对路径解析有了新的认知。

d5dd0fcb00330da00ea888efeb03f97037c90243

会场到达最精彩的时候

增加到800座椅后依然被坐满

06 攻击GraphQL

P牛的议题简洁清晰,先介绍了传统的SQL语法和GraphQL语法的使用方式,从敏感信息泄露与越权,前端安全漏洞(如CSRF,Clickjacking等),GraphQL注入漏洞,Debug模式下的信息泄露等漏洞开始,完整的总结阐述了GraphQL会遇到的各种安全问题。

5fe952181a6ccc29c450dfb4761138736a557f4d

07 Java反序列化实战

廖新喜从反序列化入门(序列化和反序列化简介、存储格式、使用场景、反序列化项目等)的介绍,到漏洞的细节利用,都做了比较清晰的解释。重点讲解了fastjson和weblogic的各种版本修复绕过方法。

70ca6b497a66a409f728c19275d9ad29919176d1

08 智能合约消息调用攻防

百度工程师隐形人真忙,从以太坊架构与攻击面介绍、EVM消息调用原理剖析、消息调用攻防等方面,介绍了智能合约消息调用安全攻防。并附上了自己的总结,那个精妙的call注入漏洞,让人意犹未尽。

b2f17a7f512a1599302824af5cc014a0112d4114

09 从数据视角探索安全威胁

cdxy从海量数据的视角来剖析安全威胁分析的各种思路。

>>>>阅读全文

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部