技术文章
FCIS 2023议题:运营商安全那些事(何雄伟)
ISP 安全 那些事从攻击者的角度分析检查及实践过程中产生的安全隐患演讲人:何雄伟About me :• Web安全研究员• 数据通讯科学研究所• 威尔克实验室• 邪红色安全信息组织Internet:网络“观”物理运行状态实践中产生的作用互联网互联网的表现形式,数据具体运行在一个什么样的网络拓扑之上。运营商
FCIS 2023议题:一体化趋势下运营商安全运营实践(韦峻峰)
一体化趋势下运营商安全运营实践1.我们的世界2.业界的期望3.行业的应对4.未来的愿景
FCIS 2023白帽论坛议题:如何在src中挖掘高危漏洞(钟北山)
如何在src中挖掘高危漏洞钟北山About Me自由职业,全职赏金猎人2021年教育src网络安全专家2022年百度应急响应中心年榜第八2022年百度大学生挖洞比赛个人第二2023年美团src年榜第五2023年双十一保卫战师长北山安全团队负责人01 半回显ssrf的深入利用02 cookie的缺陷03 四舍五入的利用04 js的提取与利用
FCIS 2023白帽论坛议题:红队反溯源与安全线路建设(SkyMine)
红队反溯源与安全线路建设• 伍智波(SkyMine)• 自由安全研究员,“全栈红队”公众号主理人,某公益计划资助人• KCon/HITB/FIT/CIS 演讲者,GeekPwn 获奖者,Security+/CISP-PTS/CISP/CISAW/CIIT/CDPSE 证书持有者• 6年安全实验室管理和红蓝对抗实战经验,连续3年国护攻击队队长,数十场高级别攻防
FCIS 2023白帽论坛议题:国产化渗透测试框架的思考与实践(Verkey)
国产化渗透测试框架思考与实践无糖信息 - Verkey当前国内安全从业者日常使用的安全测试软件大多是国外的产品。国内一些公司或团队也为安全测试工具国产化而努力,也创造了不少优秀的工具和产品。作为其中的一份子,我们也在积极的思考如何去设计和创造一款不亚于国外的渗透测试框架。01 技术沉淀2006 1
FCIS 2023白帽论坛议题:国产操作系统漏洞研究(阮奂斌)
国产操作系统的漏洞研究国产操作系统总线服务与应用安全的研究By 阮奂斌自我介绍About Me id:doudoudedi IoT漏洞挖掘 CTF 业余爱好者 二进制安全研究者01 研究动机02 目标选择03 系统初探04 提权与RCE研究动机好奇与机遇• 大概是在2022年的某一个月,我同事参加了虎符CTF,并且进入了线下赛
FCIS 2023白帽论坛议题:攻防演练中的漏洞利用分享(大余)
攻防演练中的漏洞利用分享01 攻防演练-攻击流程介绍02 攻防演练-高频漏洞03 攻防演练-漏洞利用技巧01 攻防演练-攻击流程介绍流量卡、虚拟机、代理IP、临时邮箱、临时短信等目标资产信息搜集的程度,决定渗透过程的复杂程度。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证利用
FCIS 2023白帽论坛议题:多视角下的Rsync协议攻击防御(paperpen)
前言01 Rsync介绍02 白帽子视角03 企业防御视角04 安全产品视角0x01 Rsync 介绍1.1 什么是 Rsync1.2 Rsync 指纹特征默认端口为 873protocol="rsync" || banner="@RSYNCD:"0x02 白帽子视角2.1 Rsync 未授权访问2.2 Rsync 目录爆破2.3 getshell 实战案例2.4 批量检测漏洞0x03 企业防御视角3.1 如何正确配
FCIS 2023白帽论坛议题:从实战看红队进攻技巧(陈殷)
01 更为细致的信息收集02 进攻前的一些基础设施建设03 在实战中快速突破边界技巧Penetration testing / Red teaming所有的运气是建立在大量已捕获的信息之上的针对大范围的项目的资产发现项目地址:https://github.com/SiJiDo/Ceyes优化BurpSuite以发现更多攻击面项目地址:https://github.com/novysod
FCIS 2023白帽论坛议题:从0开始设计webshell管理工具(张兆伟)
01 背景 一、为什么要从0开发和设计自己的WebShell管理工具? 二、WebShell进化史——流量02 设计流程 一、数据库选型与表设计 二、客户端编程语言选型 三、客户端主要功能设计03 功能设计 一、模拟终端实现的思路 二、文件管理实现的思路 三、流量加密实现的思路