×

看乌云白帽子大会分享,听安全牛人说安全(2)
  

adds 6965

{{ttag.title}}
7月9日   


期待ing。今天带大家看看乌云的白帽们带来了哪些干货

    今天从大楼北门进来时,看到了个大牌子,大家都来看看,是不是很有意境。
     

    看看今天的议程:
     

    进会场喽:
   

    今天换了个女主持人,据说是个主播,可惜离的有点儿远,看不清,也拍不太清。

    一、Build Your SSRF Exploit Framework---一个只影响有钱人的漏洞--猪猪侠

    猪猪狭说了一种漏洞,叫SSRP,利用一个可以发起请求的服务,当作跳板发起攻击;很多企业的安全人知道,但不认为这是个安全风险,或者知道这个风险,却因为各种各样的原因,选择了忽视。
    为什么说是有钱人的漏洞,因为有钱人的网络有两个特点:网络大、机器多,各应用相互调用。

     因为不太懂,不做评论。

      

    二、Shell is Only the Beginning--后渗透阶段的攻防对搞--三好学生

     主持人是这样介绍“三好学生”的:服务器见到会自己主动拔掉网线的乌云白帽子。
     三好学生以「黑客」视角介绍如何绕过传统的系统防护,并且对照具体的攻击方法提供防护建议。未知攻,焉知防?
  
      三、如何分析和攻击私有协议中的密码学安全漏洞--刘慧

     刘慧,一个专业研究密码的女博士。
     对于密码学,不外乎加密解密、完整性保护、数字签名。想研究的同学可以买本书看看。

     一个字:枯燥,如果你数学不好,能把你绕死。

     四、That’s a Secret--路人甲

     这是本次大会唯一一个没有到现场的演讲者,演讲说是出于各方面考虑没有现身,采用网络同传的方式将声音发给一只立在话筒旁的机器猫上。很炫吧。。
   
    继续放路人甲的图片:
   

    注意看,主持人手里拿着的那个白猫就是路人甲的同传工具。是不是很萌?
     重点来了,这个“神秘人”主要讲了哪些东东?

     

     其主题是:大数据下的诈骗。讲了一些比较实用的东西,模拟黑客如何获取受害人的信息,又如何通过这些信息使受害者上当受骗。类似于一些防范坏人的今日说法类栏目,但很实用。

     总结:这个环节我听懂了,从小受的教育多了的好处终于体现了出来。

     下午的议程开始了,还是比较紧张的,一共6场。
      
     一、Play with Pseduo-Protocols--gainover

      Gainover主要讲了应用伪协议的危害,以及如何利用应用伪协议完成攻击。
      
      总结:如何通过各种命令建立一个用户,并提权,然后使用各种不正常的方法打开一个calc。

     
      
      二、XcodeGhost is Just the Beginning-Summary of Attacks on Non-jailbroken iOS Devices--蒸米

      蒸米的主题是啥?上面的英文自己翻译出来就知道了。反正我没翻译出来。
      主要讲了IOS的漏洞,讲述自己如何发现了苹果的漏洞,以及这些漏洞的危害。
      
      总结:这个---苹果也中枪了。。
     
      主题图片:
     

     PPT全是英文,高危。六级没过者勿入。

    三、Find Blue Oceans-Through the Competitive World of Bug Bounty--Muneaki Nishimura(nishimunea)

     注意:--后面的是名字,我们就叫他Nishimura。一位来自日本的白帽子。

     他的主题就是:如何利用漏洞赚钱。
     他的忠告:在利用漏洞赚钱的时候,要绕开竞争激烈的目标,去轻松的找漏洞。
     
     图片:如何利用有限的时间挖更多的漏洞。
     
      
    感谢台上的日文翻译,让我们有了下面的段子:
    路人甲:日语翻译最后说,我实在翻译不下去了,前面都是我瞎编的。
    路人乙:演讲者说,其实我中文说的666,你来打我呀
    路人丙:翻译:妈的刚才说的啥  台词上没有啊
    路人丁:あなたは愚かですか?

    总结:日本人很实在,不远万里来到中国,就为了告诉我们如何利用Microsoft和Adobe的漏洞来赚钱。

    四、ZDI-Vulnerability Trends--Jasiel&Abdul

    Jasiel&ABdul是两位来自美国的白帽子。
     人物图片:

     

    主题:依旧是如何利用漏洞赚钱。不一一细说了。

    路人甲:为什么不请个英文翻译?
    路人乙:主办方默认参会者都是专八的水平。
    路人丙:即使不会也要装作很认真的思考,不能在外国人面前丢了面子。
    路人丁:我手酸了,实在翻译不过来了,讲的太快了。还有,前面翻译的都是我猜的--

    总结:美国的白帽比日本的白帽更牛逼,不仅仅是找漏洞提交厂家赚钱了,他们的黑产上升到一个新的层次。我将漏洞卖给出价高的客户,或者我购买漏洞,最重要的是,漏洞提供方竟然提供三包,提供三包,提供三包。包括:如何使用、提供售后,如果这个漏洞三个月内被破解后会提供新的漏洞。我当时就惊了,这是赤裸裸的犯罪啊,这在中国绝对是严打的对象啊。

    五、女生学资安*资安女孩研究室的成长日志--Wuling

    Wuling,一位台湾女同胞,一股小清新范,一上场将前两场的沉闷画风改变了。
    资安,解释一下,在台语的意思是网络安全。   

    总结:没啥特色,就是讲自己如何带着一个团队学习安全。

   资安:
   

   六、对方不想说话并扔了个message--呆子不开口

   呆子不开口是一个男性白帽子,技术精湛,语言幽默。
   主题:主要讲了XSS攻击。概述下两段话:手机QQ你点我的链接,我登录你的微博;手机QQ你点我的链接,我获取你的位置信息。

    总结:这哥们不去说单口相声真是可惜了。

    Message:
   


   7月8日-7月9日总结:
    1、7月8日,我梦想有一天我也会成为一个白帽子,并站在这里做演讲,一个晚上过后,我想成为一个白帽子的梦想彻底破灭了。要成为一个白帽子,要看的懂代码,并在代码中找出漏洞;要懂二进制;要懂Linux和Windows下的各种命令;要懂逻辑思维;要懂数据安全。好了,我是学文的,我要是数学物理学的好,我大学就学计算机了。
         但,梦想还是要有的,万一实现了呢?

   2、掌握一门外语确实很重要。有时候一门还不够,谁知道你遇到的人说的是哪一门呢?

   3、外国的安全氛围比国内要开放,比如,人家张口说黑产,闭口说交易,但国内的公开会议中,没人提及。

   4、安全很重要,安全意识更重要。

   5、中国有十三亿人,不可能每一个人都是安全工作者,那作为一个安全工作者,我们是不是有义务去保障他们的安全?

   
    会议解读完了,带大家逛逛有意思的分会场:

    1、春秋体验馆
     
     2、安塞攻击回放


     

    3、无声信息
     

     4、irc
     

   

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

北回归线 发表于 2016-7-10 12:29
  
好棒
Sangfor_闪电回_小云 发表于 2016-7-12 17:32
  
很酷哦!感谢鹏哥哥的分享~
广西巨拓——宋云 发表于 2016-7-13 23:22
  
很不错,很不错。
晴空 发表于 2016-7-14 21:05
  
太棒了,主持人很漂亮撒
黄官礼 发表于 2016-7-15 09:07
  
好历害
XiaoYang 发表于 2016-7-15 10:31
  
so cool
新手589624 发表于 2020-3-17 08:23
  
追赶大*
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人