Hacking Club技术趴
漏洞挖掘——思路链攻击
Live Long and PWN
近日,360众测平台联合360BugCloud在斗鱼平台直播了主题为“漏洞挖掘——思路链攻击”的首期Hacking Club技术趴。
本次直播分享涵盖了代码审计、0day漏洞挖掘、业务逻辑漏洞的思路分析等热点内容,共吸引数百名360众测认证白帽及360BugCloud安全研究员们的关注,直播最高热度达到4.1万,弹幕总计1.5万条。
议题一
《基于0day角度下攻防思路》
BY legend
在本次直播中,顺丰科技安全工程师legend从Web到二进制,用实例为大家详细解读了基于0day角度下的攻防思路。
白帽子点评
点评1:之前完全不了解fuzzing对于PWN的作用,实战演习的时候感觉打开了思路
点评2:Web-PWN结合 又新颖又精彩
议题二
《探寻逻辑漏洞挖掘的通用思路》
BY 月神
任何业务的背后,都伴随着无数的产品逻辑,研发人员往往因为疏忽了一些不易察觉的逻辑漏洞,而为企业系统埋下了严重的安全隐患。
正如月神所说,挖掘逻辑漏洞的乐趣就在于想出新的思路,绕过程序员设计的逻辑并从中获得“快乐”。他搭建了本地商城环境并逐一复现了这些业务出现逻辑问题的原因,与大家一起探寻逻辑漏洞背后的本质原理。
白帽子点评
点评1:贴近实战,思路创新,掌握了新姿势
点评2:非常贴合众测实战中的安全研究
点评3:思路很新奇,这种思路在平时开发中不太能考虑到
议题三
《0day套餐-从代码层逻辑分析到完整利用过程》
BY 画船听雨眠
画船师傅开门见山,抛出了两个关键问题:
1、代码审计,审计哪里(去哪里找洞)?
2、如何下手,从何处下手(怎么找洞)?
然后以某CMS的 0day 漏洞为例进行代码审计分享,为大家带来代码逻辑分析以及漏洞完整复现。
白帽子点评
点评1:可以充分的学习漏洞原理
点评2:很详细、很有干货,但是时间不太够,没来得及消化吸收就结束了,太可惜了
技术趴精彩花絮
360众测、Hacking Club运营小姐姐“妮妮”和“锤锤”首次主持,直播亮相。
360众测技术负责人:TNT,与大家分享了技术趴的创办初心:崇尚技术,只讲干货。
活动中奖名单
恭喜如下师傅成为本期Hacking Club技术趴互动环节抽奖的幸运锦鲤~
更多精彩内容,你懂的,在此就不透露细节啦!感兴趣的白帽大大们,欢迎关注下期Hacking Club技术趴哦,满满的干货等你来。咱们下期见!
演讲议题持续征集中
欢迎各位师傅踊跃投稿~
点击“阅读原文”开始投稿