内附PPT | 2018先知白帽大会精彩回顾

阅读量388665

|评论6

发布时间 : 2018-06-21 16:00:54

大会官网:https://xianzhi.aliyun.com/activity/zcon2018.htm

会议简介

2018年6月16日,即将在北京上演一年一度的“先知”白帽盛会。尊崇“白帽文化”,我们带来的是一场真正属于“白帽子”的技术大赏。

12位安全领域的佼佼者,聚焦“攻与防”的技术践行。通过「安全技术成果」和「实战经验」分享,在场的每一个人都将收获满满。

思维的碰撞,技术的交流,这是专属“白帽子”的文化。今天,组委会带来一份新鲜出炉的参会指南,让我们看看有哪一些大咖们值得期待!?

 

会议时间

2018年6月16日

 

会场地址

新云南皇冠假日酒店

北京朝阳区东北三环七圣中街12号云南大厦

 

精彩回顾

16号早上9:00,一大波热情高涨的同学已经提前到达会议现场,期待着新一届的白帽大会开启。

上午9:30,600-700人的会场座无虚席,会议正式开始。

大会开始后,首先迎来了道哥吴翰清的开场演讲,他介绍了自己为什么投身去建设上海城市大脑,同时给白帽子们提了一个建议:安全人员不要给自己设置边界,年轻人别太束缚自己,喜欢就去做,敢想敢做才能改变这个世界!

然后猪猪侠同学介绍了先知过去一年的成绩,先知9000位实名认证白帽子,去年总计为1200家企业提供安全众测服务,为企业发现超过38000个漏洞,间接避免了15亿的经济损失。

并在现场带来了先知的三个新计划

  • 先知通用漏洞计划

  • 先知红队成立(与阿里专家联合组队)

  • 众测101计划(众测技巧脱敏分享)

01 macOS 上的逻辑提权漏洞

在会议临近的前一个晚上,先知君亲眼目睹了菜丝同学,在马路上修改PPT,凌晨还在彩排现场用IDA调漏洞,只为给大家带来精彩的技术分享。 

02 弑君者Kingslayer:供应链攻击前餐

redrain同学抑扬顿挫、此起彼伏的演讲风格,让我们身临其境般的走入了一场宏大的战争故事之中。他的最终溯源结果让我们知道,多起供应链的攻击事件,以及 Schoolbell 跟多起安全行为都同出一辙,里面有着深深不可告人的秘密。

03 代码审计点线面实战

jkgh006同学一上台,二话不说就是一堆很硬的干货砸给参会者们,这种简单粗暴的方式,先知君非常喜欢。好多技术点都能成为众测的提款机,具体细节待围观者们自行挖掘。现场有不少识货的同学,都赶紧的拍了下来。

04 边信道硬件攻击实战

狗汪汪在会议一开始前,就给先知君秀了一波操作,多个视频直接演示了电磁泄露隐患、时序攻击、毛刺注入Glitch等漏洞,那个提款机的漏洞演示,看得真是意犹未尽。最后的总结:100%安全的系统并不存在。

05 从一个脆弱点到串起整个攻击面

Orange在web漏洞利用方面的知识链之深,让人叹服。一个惊艳分号,让人顿时想说出一句粗话:“哇靠,还能这样!”,服气。Spring Framework 0day – CVE-2018-1271 和 Bynder 远程代码执行漏洞,让我们对路径解析有了新的认知。

会场达最精彩的时候

增加到800座椅后依然被坐满

06 攻击GraphQL

P牛的议题简洁清晰,先介绍了传统的SQL语法和GraphQL语法的使用方式,从敏感信息泄露与越权,前端安全漏洞(如CSRF,Clickjacking等),GraphQL注入漏洞,Debug模式下的信息泄露等漏洞开始,完整的总结阐述了GraphQL会遇到的各种安全问题。 

07 Java反序列化实战

廖新喜从反序列化入门(序列化和反序列化简介、存储格式、使用场景、反序列化项目等)的介绍,到漏洞的细节利用,都做了比较清晰的解释。重点讲解了fastjson和weblogic的各种版本修复绕过方法。

08 智能合约消息调用攻防

百度工程师隐形人真忙,从以太坊架构与攻击面介绍、EVM消息调用原理剖析、消息调用攻防等方面,介绍了智能合约消息调用安全攻防。并附上了自己的总结,那个精妙的call注入漏洞,让人意犹未尽。

09 从数据视角探索安全威胁

cdxy从海量数据的视角来剖析安全威胁分析的各种思路。数据清洗、规则实现、踩坑的经历和建议,让人感觉这个议题是真走心。

10 WEB 2.0 启发式爬虫实战

猪猪侠介绍了如何基于历史经验和已知场景,构造并实现一个动态爬虫。通过浏览器提供的Headless调试模式,来遍历一个网页的所有动态对象,自动填充输入表单的参数值,并触发对象上的绑定的事件,有效解决安全测试过程中的攻击面挖掘。 

11 如何利用Ryuk分析和挖掘macOS&iOS内核驱动漏洞

在移动安全领域经验丰富的两位阿里同学(白小龙&蒸米),为大家分享了细致的漏洞发现思路,同时开放出一款自研的用于分析macOS及iOS内核驱动的静态分析工具Ryuk。能够极大地加速苹果驱动逆向和安全性分析流程,加快漏洞挖掘进程。 

至此,本届先知白帽大会已经圆满结束,希望大家在收获满满的同时,也能够在会后通过学习演讲者的分享碰撞各种火花。

 

大会参与方式

本次大会不设门票,统一线上报名参与。

点击这里立即报名https://yq.aliyun.com/event/245/join/pre?spm=a2c0h.8049718.1086673.11.gxj5Um

提交报名信息,参会二维码短信将在报名申请通过审核后发送到报名填写的手机上。

注意事项

大会不支持现场报名;

进入会场凭借二维码凭证,请妥善保管;

线上报名请妥善填写真实资料,确保入场凭据能够正确发送;

若6月12日还未收到入场凭证短信,或因误删短信导致票务丢失,请及时联系组委会补发入场凭证;

 

联系我们

邮箱:aliyun_xianzhi@service.alibaba.com

前往大会官网,获取更多信息~

https://xianzhi.aliyun.com/activity/zcon2018.htm

 

大会议程


会议亮点

基于实战

白帽大会的演讲议题均由实战驱动,要求来源于实践。在遴选议题时,特别注重讲师是否为一线安全领域的实践者。对于大会而言,实践者优于布道师。

技术初心

大会不接受平庸和陈旧,在议题内容的选择上,组委会与业内专家、白帽群体进行了多次的深入讨论,力求挖掘筛选出最新最有代表性的攻防议题,让参会者满载而归。

紧跟国际

白帽大会每年会投入很大的成本,邀请很多来自海外知名安全团队及知名公司的技术大牛,分享海外安全技术经验。

 

文末福利

贴心的安全客小伙伴为大家要来了详细的议题PPT,不多说了,先来先学,快来上手一探究竟吧!

议题PPThttps://yunpan.360.cn/surl_yczpjj9ZQJm (提取码:c333)

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+12赞
收藏
阿里云安全
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66