正文

2024-geekcon参会体验

admin
admin V管理员 /0 评论 /51 阅读
1028
此篇文章发布距今已超过15天,您需要注意文章的内容或图片是否可用!

 geekcon

01

GEEKCON

        什么是GEEKCON:在百度百科的活动背景上是这么说的:2023年,探索人工智能与专业安全的前沿平台 GeekPwn革新升级为“GEEKCON·新极棒” ,从聚焦极客“个人能力价值”升级为聚焦“企业安全价值”,通过安全对抗测试比赛,验证智能汽车、手机等产品的安全,逐步建立安全行业标准和标杆效应,让安全性能成为企业和产品品牌价值的衡量维度之一,进而提升网络安全的价值可度量、能力可视化, 助力推动科技、产业以及数字经济高质量有序发展。

        在某天下午,小编刷到了GEEKCON的推文链接,机缘巧合报名了志愿者,本着开拓眼界的想法,就去看看;经过了紧张的筹备布置会场,大会如期举行,期间的议题让小编大开眼界:

02


眼花缭乱的议题(节选)

   1.短信,不再可信?

一种无需任何外置硬件,利用未知缺陷任意伪造/劫持短信会话的远程攻击挑战。

     挑战者来自Spearder小分队清华大学Redbud开始这项挑战;会场随机挑选了一位“受害者”的手机,向这个手机发送了钓鱼短信,而这个短信的来源是可以任意伪造的,可以是任何的部门和组织,非常具有欺骗性。

   2.安全保护下的智能汽车,还能被顺走吗

一种利用未知缺陷远程控制某品牌新能源汽车的挑战。

        挑战者:安全脉脉;挑战在室外,攻击者只需要知道汽车的车架号,就可以进行渗透,并最终完成了打开车门和上车启动的攻击动作;现场小编看得热血沸腾,具体的技术细节没有公布。

3.Bypass Kernel Barriers :Fuzzing linux Kernel in Userspace with LKL?(我是如何在用户空间实现linux内核漏洞自动化挖掘的)

分享者:Google Android Red Team(美国)

这个议题由于英语听力跟不上演讲者的语速,错失精华。。。

     4.How to fuzz Your Way to Android Universal Root:Attacking Android Binder?(我是如何发现并利用底层通信漏洞控制整个安卓手机的)

分享者:Google Android Red Team(美国)

    这个也是跟不上语速,不过是在下午场分享,小编最后抓到了演讲者拿到手机root的画面:

      5.黑客真能远程炸掉手机吗?

        这个挑战没有挑战者,在现场通过将某手机的电池拆出,然后进行短路操作,在很短的时间内电池的温度就达到了100°,但是这样也触发了电池的保护机制,并不能产生爆炸;在实验室里的最终效果也是这样,极端条件下是产生了电池燃烧的现象,并没有想象中的爆炸效果。

6.AI挑战赛--未来黑掉我们的,可能是AI?

         AI for PWN 漏洞挖掘与利用全新挑战赛【1/2】

         AI for Pentest 敏感信息收集挑战赛【2/2】

        挑战者:上海交通大学Ph0t1n1a队,安恒信息GenZ队,北京邮电大学

        这个挑战是赛事组给出题目,让挑战者利用自己的AI模型在有限的时间内完成相应的内容,2场比赛看下来,小编觉得未来安全的工作人员的工作模式可能就是辅助AI和人工判断,因为AI在代码审计,敏感信息收集等海量数据中表现的非常出色,这是一个趋势;未来AI将成为我们工作的一大助力;但同时也担心,以前一个安全小组,3-4个人的工作量,未来一个人+AI辅助就可以解决了,这样就业岗位是不是进一步减少,而人也越来越卷;小编个人觉得未来能够利用AI进行跨行业工作的人,才有可能不会被淘汰。

7.会议中的潜伏者

        一种利用未知缺陷近场攻击投屏系统的挑战

        挑战者:无踪安全实验室

        这个挑战项目的场景是教师在教室里,使用硬件进行投屏教学,小编看下来,猜测是攻击者利用投屏软件的漏洞,进而渗透到使用投屏软件的电脑;最终挑战者以极快的速度通过漏洞拿下了受害人的电脑权限,并在投屏屏幕上换上了受害人的照片。

        8.SpringBoot之殇

        我是如何以不同的姿势绕过JAVA限制对服务器发起攻击的

        分享者:腾讯玄武实验室

        这个议题分享的大佬,分享的内容干货十足,详细讲了漏洞的产生原理和挖掘思路,令人大开眼界

03


总结

这次GEEKCON大会所分享的议题无论是在广度还是深度上,都是非常令人惊叹的,用什么言语都无法表达小编对这次大会的赞赏;本次作为志愿者也体会到了筹备大会的辛苦,感谢所有为大会辛苦付出的工作人员,下次有机会一定还来

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om