议题一
漏洞挖掘经验分享-从PDF导出到SSRF
本次演讲,平安寿险安全团队的韦旭尧老师,为我们介绍了常见的PDF导出功能涉及的组件类型,以及利用PDF导出功能中导出组件,通过特殊构造的输入,提升进行SSRF攻击,通过实战案例分享该类漏洞的测试技巧及手法。
嘉宾简介:
韦旭尧,来自平安寿险安全团队,负责寿险应用系统渗透测试、应急响应、SDLC流程实施工作,擅长挖掘逻辑漏洞。关注新型漏洞利用手法,辅助寿险研发部门提高安全开发能力。
议题二
Shiro反序列化流量分析
Apache Shiro 是一种功能强大且易于使用的Java安全框架,本次分享平安科技银河实验室安全研究员熊陶从流量层面,站在防守方的角度去解析攻击者的Shiro反序列化操作,并通过对流量进行解密分析攻击者的行为。
嘉宾简介:
熊陶(ID:Secx),平安科技银河实验室安全研究员(蓝军雪豹组),深信服SRC TOP2 白帽子,擅长功防对抗、流量分析及逻辑类漏洞挖掘和硬件设备类的漏洞挖掘。
议题三
趣谈SRC逻辑漏洞挖掘
逻辑漏洞挖掘是一件非常有趣的事,本议题Day1安全团队创始人王老师从实战角度出发,以多个真实逻辑漏洞为例,为大家分享了漏洞信息收集方法和入门SRC逻辑漏洞挖掘的学习方法。
嘉宾简介:
王老师,Day1安全团队创始人,某甲方高级安全工程师,活跃于多家SRC漏洞平台,漏洞盒子S级白帽子,多家SRC TOP白帽子。
议题四
云安全漏洞的发现和利用
随着国内公有云市场的发展,各大云厂商都提供了多种多样的服务,但容易出现不安全配置及安全漏洞等。本次分享,晴天组织安全团队成员Oswin以实际案例为例,介绍了发现云服务安全漏洞的具体方法,以及其安全漏洞一旦被利用将会造成的危害。
嘉宾简介:
Oswin,晴天组织安全团队成员,字节跳动SRC 年度Top2 白帽子,UCloud SRC Top1 白帽子,2022 Kcon讲师,擅长挖掘云服务相关漏洞。
议题五
甲方视角下的代码审计
奇安信资深代码审计负责人hldf 在本次分享中分享了企业内部代码审计的最佳实践方法,内容包括完整的代码审计流程、人工代码审计要点、以及目前较为主流的Java、Go应用系统中常见高危漏洞的代码审计Checklist等,帮助甲方用户充分发挥优势,最大限度地挖掘应用系统的漏洞。
嘉宾简介:
hldf,奇安信资深代码审计负责人,奇安信产品安全团队开发安全负责人,网络安全行业从业多年,有丰富的代码审计经验。带领团队开展了大量的代码审计专项工作,通过持续优化代码审计方案,使公司产品的安全性得到了有效保障。
获取PPT&视频
► 请在微信公众号后台回复关键词“PSRC1216”获取。
► 演讲视频回放内容后续会陆续放出,请持续关注本公众号
► 扫描下方微信视频号【平安集团安全应急响应】精彩绝不错过!
点赞、在看,感谢你的阅读▼
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...