临近年关,PSRC将迎来2022年最后一场线上沙龙系列主题活动!第四期活动将聚焦漏洞挖掘,邀请5位重磅嘉宾,从多角度、多领域来为大家分享漏洞挖掘技巧及方法。除了精彩议题,还有5个抽奖环节,丰富多彩的奖品等你来抽!
可立即关注微信视频号【平安集团安全应急响应】
预约直播,精彩绝不错过!
精彩议题提前看!
议题一
漏洞挖掘经验分享-从PDF导出到SSRF
在常见的PDF导出功能中,由于特定版本PDF转换组件针对用户传入特定标签的过滤不当,通过特殊构造的输入,可对服务器本地或内网进行SSRF攻击。本次演讲,将介绍常见的PDF导出功能涉及的组件类型,利用PDF导出功能中导出组件对输入内容,通过特殊构造的输入、提升,进行SSRF攻击,通过实战案例分享该类漏洞的测试技巧及手法。
嘉宾简介:
韦旭尧,来自平安寿险安全团队,负责寿险应用系统渗透测试、应急响应、SDLC流程实施工作,擅长挖掘逻辑漏洞。关注新型漏洞利用手法,辅助寿险研发部门提高安全开发能力。
议题二
Shiro反序列化流量分析
Apache Shiro 是一种功能强大且易于使用的Java安全框架,攻击者将生成恶意Payload进行AES加密,并通过Base64编码以rememberMe={value}形式发送给服务器。服务器将value进行Base64解码,然后将解码后数据进行AES解密,最后反序列化执行命令。
本次分享将从流量层面,站在防守方的角度去解析攻击者的Shiro反序列化操作,并通过对流量进行解密分析攻击者的行为。
嘉宾简介:
熊陶(ID:Secx),平安科技银河实验室安全研究员(蓝军雪豹组),深信服SRC TOP2 白帽子,擅长功防对抗、流量分析及逻辑类漏洞挖掘和硬件设备类的漏洞挖掘。
议题三
趣谈SRC逻辑漏洞挖掘
逻辑漏洞挖掘是一件非常有趣的事,本议题将从实战角度出发,以真实逻辑漏洞为例,分享漏洞信息收集方法和入门SRC逻辑漏洞挖掘的学习方法。
嘉宾简介:
王老师,Day1安全团队创始人,某甲方高级安全工程师,活跃于多家SRC漏洞平台,漏洞盒子S级白帽子,多家SRC TOP白帽子。
议题四
云安全漏洞的发现和利用
随着国内公有云市场的发展,各大云厂商都提供了多种多样的服务,但容易出现由于不安全配置、应用组件安全漏洞以及管理不当等问题造成的云凭证泄漏的情况。本次分享,将以实际案例为例,介绍5种最通用的凭证泄漏点,从SRC赏金猎人角度讲解其利用方式及影响。
嘉宾简介:
Oswin,晴天组织安全团队成员,字节跳动SRC 年度Top2 白帽子,UCloud SRC Top1 白帽子,2022 Kcon讲师,擅长挖掘云服务相关漏洞。
议题五
甲方视角下的代码审计
本议题旨在分享企业内部代码审计的最佳实践,内容包括完整的代码审计流程、人工代码审计要点、以及目前较为主流的Java、Go应用系统中常见高危漏洞的代码审计Checklist等,帮助甲方用户充分发挥优势,最大限度地挖掘应用系统的漏洞。
嘉宾简介:
hldf,奇安信资深代码审计负责人,奇安信产品安全团队开发安全负责人,网络安全行业从业多年,有丰富的代码审计经验。带领团队开展了大量的代码审计专项工作,通过持续优化代码审计方案,使公司产品的安全性得到了有效保障。
演讲嘉宾
奖品多多,等你来拿!
多轮抽奖环节,鼠标垫、存钱罐、T恤、盲盒等等多个礼品等你来抽!
直 播 预 约
扫描下方微信视频号
【平安集团安全应急响应】
预约直播,精彩绝不错过!
时间:2022年12月16日 14:00~17:30
主办方
协办方
点赞、在看,感谢你的阅读▼
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...