白帽大会资料下载 | 让技术自生长

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全基线管理CSPM免费试用,1000次1年
简介: 大会介绍 阿里云先知每年邀请来自世界各地的知名研究人员分享他们的最新发现与安全经验,向大家分享和展示全新的技术世界。 对于大会我们有着自己的态度,我们希望维持黑客技术大会的传统,对议程内容要求严谨,不带商业色彩同时具备高水准。

大会介绍

阿里云先知每年邀请来自世界各地的知名研究人员分享他们的最新发现与安全经验,向大家分享和展示全新的技术世界。

对于大会我们有着自己的态度,我们希望维持黑客技术大会的传统,对议程内容要求严谨,不带商业色彩同时具备高水准。使每一位对安全技术有兴趣的朋友,无论是安全专家或入门新手都得以在这场盛会中有所收获,尽兴而归。

精彩回顾

16号早上9:00,一大波热情高涨的同学已经提前到达会议现场,期待着新一届的白帽大会开启。

b55c26813e874d863ca923dd7a3979a0acc88d2f

上午9:30,600-700人的会场座无虚席,会议正式开始。

b709757bb620a87435564a8e9847c32fcc3b934f

大会开始后,首先迎来了道哥吴翰清的开场演讲,他介绍了自己为什么投身去建设上海城市大脑,同时给白帽子们提了一个建议:安全人员不要给自己设置边界,年轻人别太束缚自己,喜欢就去做,敢想敢做才能改变这个世界!

f8d7324e67e13a1c349b923134fec6b9154211b2

然后猪猪侠同学介绍了先知过去一年的成绩,先知9000位实名认证白帽子,去年总计为1200家企业提供安全众测服务,为企业发现超过38000个漏洞,间接避免了15亿的经济损失。

313aa02974d7e9b68b266543bc927681b6b9f33e

并在现场带来了先知的三个新计划

d47e62d2b349aca45e42305ed6714efbe5ed61d9 先知通用漏洞计划
d47e62d2b349aca45e42305ed6714efbe5ed61d9 先知红队成立(与阿里专家联合组队)
d47e62d2b349aca45e42305ed6714efbe5ed61d9 众测101计划(众测技巧脱敏分享)

01 macOS 上的逻辑提权漏洞

在会议临近的前一个晚上,先知君亲眼目睹了菜丝同学,在马路上修改PPT,凌晨还在彩排现场用IDA调漏洞,只为给大家带来精彩的技术分享。

b226b1c47e8ee629c74ab05df4a97340d415bbf2

02 弑君者Kingslayer:供应链攻击前餐

redrain同学抑扬顿挫、此起彼伏的演讲风格,让我们身临其境般的走入了一场宏大的战争故事之中。他的最终溯源结果让我们知道,多起供应链的攻击事件,以及 Schoolbell 跟多起安全行为都同出一辙,里面有着深深不可告人的秘密。

3fcb4b665e4fbcf4f9387aa1c06b182f9ce5f77d

03 代码审计点线面实战

jkgh006同学一上台,二话不说就是一堆很硬的干货砸给参会者们,这种简单粗暴的方式,先知君非常喜欢。好多技术点都能成为众测的提款机,具体细节待围观者们自行挖掘。现场有不少识货的同学,都赶紧的拍了下来。

f4c5721a5b1ef6d575214d11881f36cef091a570

04 边信道硬件攻击实战

狗汪汪在会议一开始前,就给先知君秀了一波操作,多个视频直接演示了电磁泄露隐患、时序攻击、毛刺注入Glitch等漏洞,那个提款机的漏洞演示,看得真是意犹未尽。最后的总结:100%安全的系统并不存在。

5023646253e1e31ef55071ff959c4549f5d7a926

05 从一个脆弱点到串起整个攻击面

Orange在web漏洞利用方面的知识链之深,让人叹服。一个惊艳分号,让人顿时想说出一句粗话:“哇靠,还能这样!”,服气。Spring Framework 0day - CVE-2018-1271 和 Bynder 远程代码执行漏洞,让我们对路径解析有了新的认知。

d5dd0fcb00330da00ea888efeb03f97037c90243

会场到达最精彩的时候

增加到800座椅后依然被坐满

06 攻击GraphQL

P牛的议题简洁清晰,先介绍了传统的SQL语法和GraphQL语法的使用方式,从敏感信息泄露与越权,前端安全漏洞(如CSRF,Clickjacking等),GraphQL注入漏洞,Debug模式下的信息泄露等漏洞开始,完整的总结阐述了GraphQL会遇到的各种安全问题。

5fe952181a6ccc29c450dfb4761138736a557f4d

07 Java反序列化实战

廖新喜从反序列化入门(序列化和反序列化简介、存储格式、使用场景、反序列化项目等)的介绍,到漏洞的细节利用,都做了比较清晰的解释。重点讲解了fastjson和weblogic的各种版本修复绕过方法。

70ca6b497a66a409f728c19275d9ad29919176d1

08 智能合约消息调用攻防

百度工程师隐形人真忙,从以太坊架构与攻击面介绍、EVM消息调用原理剖析、消息调用攻防等方面,介绍了智能合约消息调用安全攻防。并附上了自己的总结,那个精妙的call注入漏洞,让人意犹未尽。

b2f17a7f512a1599302824af5cc014a0112d4114

09 从数据视角探索安全威胁

cdxy从海量数据的视角来剖析安全威胁分析的各种思路。数据清洗、规则实现、踩坑的经历和建议,让人感觉这个议题是真走心。

0bae0d3d4c84a800c68c3efbf9fbd79ab08ec41b

10 WEB 2.0 启发式爬虫实战

猪猪侠介绍了如何基于历史经验和已知场景,构造并实现一个动态爬虫。通过浏览器提供的Headless调试模式,来遍历一个网页的所有动态对象,自动填充输入表单的参数值,并触发对象上的绑定的事件,有效解决安全测试过程中的攻击面挖掘。

b96d79b161f26216c29617397b3b4b37d507ba1f

11 如何利用Ryuk分析和挖掘macOS&iOS内核驱动漏洞

在移动安全领域经验丰富的两位阿里同学(白小龙&蒸米),为大家分享了细致的漏洞发现思路,同时开放出一款自研的用于分析macOS及iOS内核驱动的静态分析工具Ryuk。能够极大地加速苹果驱动逆向和安全性分析流程,加快漏洞挖掘进程。

e4fee87d31f523b8c13d346779562b83bff3fe51

至此,本届先知白帽大会已经圆满结束,希望大家在收获满满的同时,也能够在会后通过学习演讲者的分享碰撞各种火花。

先知白帽大会2018 | 议题下载

相关文章
|
存储 监控 Cloud Native
聚焦QCon全球软件开发大会·上海站,阿里云邀您共赴可观测技术盛宴!
聚焦QCon全球软件开发大会·上海站,阿里云邀您共赴可观测技术盛宴!
708 0
聚焦QCon全球软件开发大会·上海站,阿里云邀您共赴可观测技术盛宴!
|
云安全 安全 Cloud Native
阿里云 X 长亭科技再度联手,重磅报告历数6年攻防之变
6年,大型攻防演练活动已历经时间洗礼,历炼出独特的姿态,企业安全建设随之演进。
337 0
阿里云 X 长亭科技再度联手,重磅报告历数6年攻防之变
|
人工智能 编解码 Cloud Native
|
消息中间件 Dubbo NoSQL
云栖大会开源引力峰会,震撼来袭
2021年的今天,田园牧歌式的古典开源时代已经过去,开源的持续不能只靠开发者们在业余时间用爱发电,而是需要有自我造血能力的企业将商业化的收益反哺回开源以实现项目的长期发展。开源已悄然进入到商业化的2.0时代。
云栖大会开源引力峰会,震撼来袭
|
机器学习/深度学习 人工智能 达摩院
2022年十大科技趋势,听听专家们都怎么说
12月28日,阿里巴巴达摩院发布2022十大科技趋势,这是达摩院连续第四年发布前沿科技趋势预测。
|
新零售 人工智能 达摩院
十年再出发!阿里云智能总裁张建锋演讲全记录
3月21日,“十年再出发”阿里云峰会于国家会议中心正式召开。阿里云智能总裁张建锋(行癫)携核心管理团队首次悉数亮相,并对阿里云做了全面的战略解读。以下是演讲全文。
5503 0
下一篇
无影云桌面