补天白帽城市沙龙走进成都 实战化攻防推动安全产业发展

更新日期:2022年05月13日

       近来, 国内闻名缝隙呼应渠道补天举办了补天白帽城市沙龙-成都站活动, 邀请了来自奇安信络绎不绝研究院、字节跳动、360cert以及无糖信息阿斯巴甜实验室等多个组织的顶尖攻防专家, 深化了关于实战化缝隙发掘、浸透进犯、DNS缓存污染进犯、根据IIOP的Websphere反序列化等方面的最新作用。毫无疑问, CTF是白帽子最津津有味的竞赛之一, 为很多网络安全爱好者供给了学习、训练的时机。
       《从CTFer⻆度看实战缝隙发掘》这一议题从CTFer的按照动身, 经过具体的实战事例深化解说了怎么将CTF与实战融会贯通,

包含科班出身的高校CTFer们怎么快速入门缝隙发掘, 以及久经沙场的资深白帽们怎么经过CTF更进一步, 最终站在甲方安全工程师的视角总结了关于我们缝隙发掘的一些石沉大海。2008年Kaminsky最早提出了经过呼应抢答来假造DNS呼应, 然后完成缓存污染, 在这个进犯办法中需要能精确猜测DNS呼应的意图端口和TXID, 在其时这并不难, 但在Kaminsky之后相关厂商都对TXID和暂时端口做了随机化来缓解此类进犯。
       《MakeKaminskyGreatAgainDNS缓存污染进犯的新办法》这一议题在此基础上具体介绍了怎么经过ICMP侧信道来打破暂时端口随机化的缓解办法, 然后能让Kaminsky进犯再次“复生”, ICMP侧信道和操作系统内核对发包速率的约束有关, 纯粹是内核开发者的无心之过, 但这种无意的规划刚好给打破安全防护供给了便利。《根据IIOP的Websphere反序列化》则首要说明晰根据IIOP下Websphere中存在的反序列化使用场景, 首要介绍了序列化缝隙、Websphere、缝隙中触及到的协议、以及缝隙的触发和使用、最终对缝隙的修正做了剖析, 并给出安全石沉大海。其间, 该缝隙触及到的协议又包含:RMI-IIOP、JNDI-RMI。该缝隙相关于传统意义上的序列化缝隙来说, 使用场景更杂乱, 触及的知识面更广, 非常值得学习。浸透测验和进犯往往是安全测验最重要的环节。《实战浸透进犯的新考虑》议题从传统浸透方法到社工实战的灵活运用, 怎么扩展0day的实战化作用;结合实战化事例, 面临没有0day的时分, 有用打破防线的一些的新思路。补天渠道运营负责人介绍, 据补天渠道数据显现, 自本年疫情迸发以来, 缝隙数量不断攀升, 网络进犯事情频发产生, 网络安全人才缺口严峻,

网络安全形势不容乐观。与此同时, 人社部也正式把信息安全测验员加入了一个工作规范确定, 这无疑为白帽子的开展又点亮了一盏指路明灯, 也将把网络安全的开展带到一个新的高度。
       

Copyright © 2005-2022 金诺科技有限公司 jinnuokejiyouxiangongsi (www.cheapmaccosmetic.com),All Rights Reserved