首页 新闻 补天白帽城市沙龙走进成都 实战化攻防推动安全产业发展

企业新闻

补天白帽城市沙龙走进成都 实战化攻防推动安全产业发展

日期:2022年05月13日

       近来, 国内闻名缝隙呼应渠道补天举办了补天白帽城市沙龙-成都站活动, 邀请了来自奇安信络绎不绝研究院、字节跳动、360cert以及无糖信息阿斯巴甜实验室等多个组织的顶尖攻防专家, 深化了关于实战化缝隙发掘、浸透进犯、DNS缓存污染进犯、根据IIOP的Websphere反序列化等方面的最新作用。
       毫无疑问,

CTF是白帽子最津津有味的竞赛之一, 为很多网络安全爱好者供给了学习、训练的时机。《从CTFer⻆度看实战缝隙发掘》这一议题从CTFer的按照动身, 经过具体的实战事例深化解说了怎么将CTF与实战融会贯通, 包含科班出身的高校CTFer们怎么快速入门缝隙发掘,

以及久经沙场的资深白帽们怎么经过CTF更进一步, 最终站在甲方安全工程师的视角总结了关于我们缝隙发掘的一些石沉大海。2008年Kaminsky最早提出了经过呼应抢答来假造DNS呼应, 然后完成缓存污染, 在这个进犯办法中需要能精确猜测DNS呼应的意图端口和TXID, 在其时这并不难, 但在Kaminsky之后相关厂商都对TXID和暂时端口做了随机化来缓解此类进犯。
       《MakeKaminskyGreatAgainDNS缓存污染进犯的新办法》这一议题在此基础上具体介绍了怎么经过ICMP侧信道来打破暂时端口随机化的缓解办法, 然后能让Kaminsky进犯再次“复生”, ICMP侧信道和操作系统内核对发包速率的约束有关, 纯粹是内核开发者的无心之过, 但这种无意的规划刚好给打破安全防护供给了便利。《根据IIOP的Websphere反序列化》则首要说明晰根据IIOP下Websphere中存在的反序列化使用场景, 首要介绍了序列化缝隙、Websphere、缝隙中触及到的协议、以及缝隙的触发和使用、最终对缝隙的修正做了剖析, 并给出安全石沉大海。其间, 该缝隙触及到的协议又包含:RMI-IIOP、JNDI-RMI。
       该缝隙相关于传统意义上的序列化缝隙来说, 使用场景更杂乱, 触及的知识面更广, 非常值得学习。浸透测验和进犯往往是安全测验最重要的环节。
       《实战浸透进犯的新考虑》议题从传统浸透方法到社工实战的灵活运用, 怎么扩展0day的实战化作用;结合实战化事例, 面临没有0day的时分, 有用打破防线的一些的新思路。补天渠道运营负责人介绍, 据补天渠道数据显现, 自本年疫情迸发以来, 缝隙数量不断攀升, 网络进犯事情频发产生,

网络安全人才缺口严峻, 网络安全形势不容乐观。与此同时,

人社部也正式把信息安全测验员加入了一个工作规范确定, 这无疑为白帽子的开展又点亮了一盏指路明灯, 也将把网络安全的开展带到一个新的高度。

相关新闻

  • 2022-06-12 20:51:02

    杭州进一步放宽落户政策 专家:对楼市没有直接影响

    上海报告根据猎聘大数据研究院9月中旬发布的《2018年中高端人才战略报告:分析大数据争夺人才的赢家》,在人才流动的地域分布中,一线城市对非一线城市,杭州位居第一,占比6.44%。目前,杭州对人才的吸引力仍在加强。为加快杭州市户籍制度改革,杭州市人民政府近日印发《杭州市人民政府关于调整完善城镇户籍搬迁......

  • 2022-06-19 17:54:28

    30日老鼠仓票票大放送

    下午机构朋友发布消息,明日开盘门票将大幅上涨。疑似老鼠仓,话不多说,有钱的人都能赚钱。为避免不必要的麻烦,明天9:15前发出。...

  • 2022-06-22 11:25:26

    2019年铁路投资8029亿 高铁突破3.5万公里

    从北京报道时间到年底,中铁交出了一份耀眼的成绩单。1月2日,在中国国家铁路集团有限公司(以下简称“国家铁路集团”)工作会议上,中国国家铁路集团董事长、党委书记卢东福介绍,2019年,国家铁路固定资产投资完成8029亿元,其中全国铁路完成7511亿元;新铁路线8489公里,其中高铁5474公里。截至2......

联系我们