|
|
|---|---|
|
|
《潜伏在PHP Manual背后的特性及漏洞》
演讲者:邓永凯
绿盟科技安全研究员
本议题将介绍php中正常的非危险函数在某些场景下也一样存在安全风险,因为很多开发者认为官方手册的说明和方法应该是最标准的,没有任何问题的,所以就直接拿过来使用。 然而,如果没有认真仔细阅读及测试PHP manual中的使用方法,这些潜在安全风险就会被黑客恶意利用导致安全漏洞,而且这些潜在威胁就存在php官方的php manual当中只是需要你去发现它们,这些看似正常但是存在潜在威胁的函数方法经常会出现在代码审计、CTF挑战、漏洞利用Bypass当中。 首先介绍的是官方文档中各数据类型的定义和例子及其潜在的安全风险:   字符串操作中,因为单引号或者反斜线等符号导致SQL漏洞  文件操作相关导致的任意文件读取漏洞  过滤函数导致的执行漏洞 
最后于 2018-7-21 17:03
被黯夏子风编辑
,原因:
|
|
|
|
|
|
《从WPA2四次握手看KRACK密钥重装攻击》
演讲者:石冰 安全爱好者 本议题主要围绕2017年年底爆出的WPA2协议的漏洞展开,该漏洞通过WPA2协议在实现四次握手过程中出现的缺陷,对该过程进行攻击从而导致密钥被重新安装,进而实现通信数据的劫持。 与平时经常爆出的漏洞不同的是,该漏洞属于协议层面,并不针对某一特定型号的设备或产品,因此任何接入WIFI的设备都有可能受到影响,由于攻击本身并不能获取WIFI密码也不针对WIFI密码,因此定期更换密码并不能抵御此类攻击,用户可以通过禁用客户端的某些功能来降低针对路由器和AP的攻击风险。  在介绍了KRACK的定义之后,介绍了四次握手协议分析  握手协议中Msg3传输攻击方式 
最后于 2018-7-21 17:38
被黯夏子风编辑
,原因:
|
|
|
《硬件钱包安全分析》
演讲者:胡铭德 北京知道创宇先进技术部总监
随着区块链技术的兴起,国内国外出现很多硬件钱包厂家,由于大多厂家对安全理解不到位,出现很多设计架构的一些问题,我们做了相关安全研究。 很多比特币硬件钱包基于手机平台开发(mtk),由于该平台USB接口存在漏洞。 利用该漏洞我们可以对固件修改 ,对手机钱包app修改, 从而打开wifi蓝牙接口。进而完全控制钱包的私钥。最后通过一些演示证明此类钱包的不安全性和脆弱性。  在简要的进行了背景和现状介绍之后,演讲者给我们带来了国内钱包的安全分析    接下来是国外的钱包安全分析 
最后于 2018-7-21 18:11
被黯夏子风编辑
,原因:
|
|
|
区块链安全圆桌会议,各位大佬讨论区块链安全现状和建议
 |
|
|
|
|
|
|
|
|
看雪2018安全开发者峰会 展台花絮一览看雪学院 今天看雪安全开发者峰会在7月21日,于国家会议中心圆满落幕。
除了场内精彩的议题演讲和圆桌会议等,场外还有各大展商的精彩小活动及礼品,吸引参会者积极参与。展台前人头涌动,足以可见人气的火爆程度。
看雪学院(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的开发者社区!成立于2000年,经历了近二十年的磨砺, 见证了国内安全行业的发展,被誉为安全界的黄埔军校。 它是中国最早的安全工程师交流学习社区, 通过十八年的发展在行业内树立了令人尊敬的专业形象。
看雪学院展台人气满满。 看雪会刊的尾页有集章页,集齐所有展台的章就可以到看雪的展台领奖品啦!奖品为看雪文化衫一件。 此外,看雪展台还设置了CrackMe Live的活动,现场两位选手随机挑选电脑上的题目,若得出正确答案,即视为成功,便可以领取礼物啦!感谢江民科技、饿了么、VIPKID SRC 为我们提供的礼物。
每个展台前都引得参会者驻足了解,参与。丰富的活动和礼品大大调动了参会者们的积极性。在大家的热情中,看雪2018安全开发者峰会落下,我们明年再见! 感谢所有的赞助商的大力支持,钻石赞助商:梆梆安全、娜迦科技、阿里安全、腾讯安全、百度安全、WiFi万能钥匙安全应急响应中心;铂金赞助商:京东安全、奇虎360科技;黄金赞助商:几维安全、爱加密、金山毒霸、腾讯安全应急响应中心、科锐、同盾科技、15pb。
最后于 2018-7-23 15:08
被CCkicker编辑
,原因:
|
|
|
|
|
|
|
|
|
|
