预告！平安SRC线上沙龙系列主题活动第四期：漏洞挖掘专场，即将来袭！

议题一

漏洞挖掘经验分享-从PDF导出到SSRF

在常见的PDF导出功能中，由于特定版本PDF转换组件针对用户传入特定标签的过滤不当，通过特殊构造的输入，可对服务器本地或内网进行SSRF攻击。本次演讲，将介绍常见的PDF导出功能涉及的组件类型，利用PDF导出功能中导出组件对输入内容，通过特殊构造的输入、提升，进行SSRF攻击，通过实战案例分享该类漏洞的测试技巧及手法。

议题二

Shiro反序列化流量分析

Apache Shiro 是一种功能强大且易于使用的Java安全框架，攻击者将生成恶意Payload进行AES加密，并通过Base64编码以rememberMe={value}形式发送给服务器。服务器将value进行Base64解码，然后将解码后数据进行AES解密，最后反序列化执行命令。

本次分享将从流量层面，站在防守方的角度去解析攻击者的Shiro反序列化操作，并通过对流量进行解密分析攻击者的行为。

议题三

趣谈SRC逻辑漏洞挖掘

逻辑漏洞挖掘是一件非常有趣的事，本议题将从实战角度出发，以真实逻辑漏洞为例，分享漏洞信息收集方法和入门SRC逻辑漏洞挖掘的学习方法。

议题四

云安全漏洞的发现和利用

随着国内公有云市场的发展，各大云厂商都提供了多种多样的服务，但容易出现由于不安全配置、应用组件安全漏洞以及管理不当等问题造成的云凭证泄漏的情况。本次分享，将以实际案例为例，介绍5种最通用的凭证泄漏点，从SRC赏金猎人角度讲解其利用方式及影响。

议题五

甲方视角下的代码审计

本议题旨在分享企业内部代码审计的最佳实践，内容包括完整的代码审计流程、人工代码审计要点、以及目前较为主流的Java、Go应用系统中常见高危漏洞的代码审计Checklist等，帮助甲方用户充分发挥优势，最大限度地挖掘应用系统的漏洞。