首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

Hacking Club技术趴

漏洞挖掘——思路链攻击

Live Long and PWN

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

近日,360众测平台联合360BugCloud在斗鱼平台直播了主题为“漏洞挖掘——思路链攻击”的首期Hacking Club技术趴。

本次直播分享涵盖了代码审计、0day漏洞挖掘、业务逻辑漏洞的思路分析等热点内容,共吸引数百名360众测认证白帽及360BugCloud安全研究员们的关注,直播最高热度达到4.1万,弹幕总计1.5万条

议题一

《基于0day角度下攻防思路》

BY legend

在本次直播中,顺丰科技安全工程师legend从Web到二进制,用实例为大家详细解读了基于0day角度下的攻防思路。

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

白帽子点评

 

 

 

点评1:之前完全不了解fuzzing对于PWN的作用,实战演习的时候感觉打开了思路

点评2Web-PWN结合 又新颖又精彩

议题二

《探寻逻辑漏洞挖掘的通用思路》

BY 月神

任何业务的背后,都伴随着无数的产品逻辑,研发人员往往因为疏忽了一些不易察觉的逻辑漏洞,而为企业系统埋下了严重的安全隐患。

正如月神所说,挖掘逻辑漏洞的乐趣就在于想出新的思路,绕过程序员设计的逻辑并从中获得“快乐”。他搭建了本地商城环境并逐一复现了这些业务出现逻辑问题的原因,与大家一起探寻逻辑漏洞背后的本质原理。

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

白帽子点评

 

 

 

点评1:贴近实战,思路创新,掌握了新姿势

点评2非常贴合众测实战中的安全研究

点评3思路很新奇,这种思路在平时开发中不太能考虑到

议题三

《0day套餐-从代码层逻辑分析到完整利用过程》

BY 画船听雨眠

画船师傅开门见山,抛出了两个关键问题:

1、代码审计,审计哪里(去哪里找洞)? 

2、如何下手,从何处下手(怎么找洞)? 

 

然后以某CMS的 0day 漏洞为例进行代码审计分享,为大家带来代码逻辑分析以及漏洞完整复现。

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

白帽子点评

 

 

 

点评1:可以充分的学习漏洞原理

点评2很详细、很有干货,但是时间不太够,没来得及消化吸收就结束了,太可惜了

技术趴精彩花絮

360众测、Hacking Club运营小姐姐“妮妮”和“锤锤”首次主持,直播亮相。

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

360众测技术负责人:TNT,与大家分享了技术趴的创办初心:崇尚技术,只讲干货。

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

活动中奖名单

恭喜如下师傅成为本期Hacking Club技术趴互动环节抽奖的幸运锦鲤~

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

更多精彩内容,你懂的,在此就不透露细节啦!感兴趣的白帽大大们,欢迎关注下期Hacking Club技术趴哦,满满的干货等你来。咱们下期见!

演讲议题持续征集中

欢迎各位师傅踊跃投稿~

 

点击“阅读原文”开始投稿

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注