预告!平安SRC线上沙龙系列主题活动第四期:漏洞挖掘专场,即将来袭!

百家 作者:平安安全应急响应中心 2022-11-30 19:04:57

临近年关,PSRC将迎来2022年最后一场线上沙龙系列主题活动!第四期活动将聚焦漏洞挖掘,邀请5位重磅嘉宾,从多角度、多领域来为大家分享漏洞挖掘技巧及方法。除了精彩议题,还有5个抽奖环节,丰富多彩的奖品等你来抽!

 

可立即关注微信视频号【平安集团安全应急响应】

预约直播,精彩绝不错过!

 时间:2022年12月16日 14:00~17:30 


精彩议题提前看!


议题一

漏洞挖掘经验分享-从PDF导出到SSRF

在常见的PDF导出功能中,由于特定版本PDF转换组件针对用户传入特定标签的过滤不当,通过特殊构造的输入,可对服务器本地或内网进行SSRF攻击。本次演讲,将介绍常见的PDF导出功能涉及的组件类型,利用PDF导出功能中导出组件对输入内容,通过特殊构造的输入、提升,进行SSRF攻击,通过实战案例分享该类漏洞的测试技巧及手法。


嘉宾简介:

韦旭尧,来自平安寿险安全团队,负责寿险应用系统渗透测试、应急响应、SDLC流程实施工作,擅长挖掘逻辑漏洞。关注新型漏洞利用手法,辅助寿险研发部门提高安全开发能力。


议题二

Shiro反序列化流量分析

Apache Shiro 是一种功能强大且易于使用的Java安全框架,攻击者将生成恶意Payload进行AES加密,并通过Base64编码以rememberMe={value}形式发送给服务器。服务器将value进行Base64解码,然后将解码后数据进行AES解密,最后反序列化执行命令。

本次分享将从流量层面,站在防守方的角度去解析攻击者的Shiro反序列化操作,并通过对流量进行解密分析攻击者的行为。


嘉宾简介:

熊陶(ID:Secx),平安科技银河实验室安全研究员(蓝军雪豹组),深信服SRC TOP2 白帽子,擅长功防对抗、流量分析及逻辑类漏洞挖掘和硬件设备类的漏洞挖掘。


议题三

趣谈SRC逻辑漏洞挖掘

逻辑漏洞挖掘是一件非常有趣的事,本议题将从实战角度出发,以真实逻辑漏洞为例,分享漏洞信息收集方法和入门SRC逻辑漏洞挖掘的学习方法。


嘉宾简介:

王老师,Day1安全团队创始人,某甲方高级安全工程师,活跃于多家SRC漏洞平台,漏洞盒子S级白帽子,多家SRC TOP白帽子。


议题四

云安全漏洞的发现和利用

随着国内公有云市场的发展,各大云厂商都提供了多种多样的服务,但容易出现由于不安全配置、应用组件安全漏洞以及管理不当等问题造成的云凭证泄漏的情况。本次分享,将以实际案例为例,介绍5种最通用的凭证泄漏点,从SRC赏金猎人角度讲解其利用方式及影响。


嘉宾简介:

Oswin,晴天组织安全团队成员,字节跳动SRC 年度Top2 白帽子,UCloud SRC Top1 白帽子,2022 Kcon讲师,擅长挖掘云服务相关漏洞。


议题五

甲方视角下的代码审计

本议题旨在分享企业内部代码审计的最佳实践,内容包括完整的代码审计流程、人工代码审计要点、以及目前较为主流的Java、Go应用系统中常见高危漏洞的代码审计Checklist等,帮助甲方用户充分发挥优势,最大限度地挖掘应用系统的漏洞。


嘉宾简介:

hldf,奇安信资深代码审计负责人,奇安信产品安全团队开发安全负责人,网络安全行业从业多年,有丰富的代码审计经验。带领团队开展了大量的代码审计专项工作,通过持续优化代码审计方案,使公司产品的安全性得到了有效保障。

演讲嘉宾


奖品多多,等你来拿!

 

多轮抽奖环节,鼠标垫、存钱罐、T恤、盲盒等等多个礼品等你来抽!




直 播 预 约

 

扫描下方微信视频号

【平安集团安全应急响应】

预约直播,精彩绝不错过!

 时间:2022年12月16日 14:00~17:30 



主办方


协办方


合作伙伴




如有疑问,请发送问题至本微信公众号后台
更多最新活动消息请关注我们!


点赞、在看,感谢你的阅读▼ 


▼ 点击阅读原文,进入活动页面

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接