信息安全整体保障中的漏洞挖掘
  • 作者: 蔚永强-DSRC2018年度优秀白帽代表
  • 收录:
  • 简介:

议题简介:此议题主要介绍对大型央企进行信息安全整体保障时的日常漏洞挖掘工作,从漏洞挖掘角度去分析、制定、决策信息安全整体保障工作的日常开展以及之后的信息安全体系建设等。

Docker逃逸:从一个进程崩溃讲起
  • 作者: 卢宇-长亭科技公司安全研究员
  • 收录:
  • 简介:

议题介绍:Docker作为一个程序可以提供操作系统级的虚拟化,它基于Linux内核提供的资源隔离特性开发,并允许相互独立的“容器”工作在唯一的Linux实例中,这样一来就避免了运行及维护虚拟机带来的开销。Apport是一个自动处理进程崩溃的系统,它可以拦截进程崩溃同时搜集潜在有用的信息。 本议题会简单的介绍Docker和Apport并分享如何通过一个Apport漏洞来完成Docker的逃逸。

SRC运营之路:七年之痒背后的新故事
  • 作者: Juju朱莎莎-TSRC、Blade T
  • 收录:
  • 简介:

议题介绍:什么是SRC的运营?如何跟老板讲清楚SRC的价值?SRC的运营难道只是发几篇公众号?做几个活动?邮寄几份礼品?搞一搞外联关系维护?在企业安全这个大的体系中,SRC到底给企业带来了什么?以上问题也许在不同的企业都会有不同的答案,如果你感兴趣,也许可以听听国内首家SRC的七年运营摸爬滚打励志奋斗史。

逻辑漏洞检测
  • 作者: 潘玺廷-滴滴出行安全工程师
  • 收录:
  • 简介:

从常见的黑产攻击角度揭示互联网业务的逻辑漏洞利用原理,剖析成因、检测和防御手段。并结合最佳实践归纳漏洞模型,实现可半自动化检测。 - 逻辑漏洞定义和分类 - •如何定义逻辑漏洞 - •业务逻辑漏洞示例 - •逻辑漏洞的场景和类型 - 基于黑盒扫描进行检测 - •确定目标,找出核心检测原理 - •重新抽象黑盒扫描器 - •实现过