Preview Name 作者 Date File info
  • 专为 API 风险而设计
    • 我们为什么来到这里?
    • Web API:高期望和广泛挑战
    • 我们来看看在互联网上能观察到什么
    • 我们来看看一些真实攻击案例
Fernando Serto 、马俊 James Ma@阿卡迈(Akamai 2019-05-07 13:54:05
  • 附件: 1 个
  • 大小: 4.54 M
  • OBD-II 设备的网络安全风险
  • Cybersecurity for OBD-II devices

    In the past few years, we are seeing a rise in the availability of aftermarket devices to access car data. Those devices often get connected to the car through the OBD-II port, which was originally designed for emissions testing. The OBD-II port allows access to the vehicle’s internal bus to anyone connecting to it. The initial standards that defined this port were targeting the access to emissions’ related information; although afterwards, new capabilities where added that allowed changing parameters or reprogramming the internal ECUs in the vehicle. Aftermarket OBD-II dongles provide consumers and enterprises with many useful features, but they also expose the vehicle to new risks that where not considered in the nineties, when the OBD standard was developed. In this presentation, we will review the risks associated to the connection of devices to the OBD-II port; and will discuss real-life examples of vulnerabilities affecting this type of devices.

    在过去的几年中,获取汽车售后数据的设备供应需求显著增加。这些设备通常通过OBD-II 接口连接到汽 车上,该端口最初是为排放测试而设计的。 OBD-II 端口允许对连接到它的任何设备访问车辆的内部总线。定义这个港口的最初标准是针对排放的相关 信息;尽管之后,添加了新的功能,并允许更改参数或重新编程车辆内部的ECUs。 汽车售后市场为消费者和企业提供了许多有用的功能,但同时也暴露了汽车的新风险,而在90 年代,当 OBD 标准被开发出来的时候,这些风险就没有被考虑过了。 在这次的演讲中,我们将回顾与OBD-II 端口连接设备相关的风险,并将讨论影响这类设备的脆弱性的真 实示例。

Joaquin Torrecilla@DEKRA Testing & Certification S.A.U 2018-11-27 09:01:37
  • 附件: 1 个
  • 大小: 1.24 M
  • 自动驾驶的软件安全
  • 自动驾驶的软件安全 An AD system is, on its essence, a full stack system that is operated on a complex embedded system platform. Thus, the predominant software security concern to be addressed in such a system is the high security requirement of the components, especially the AD system components. In this presentation, we will first look at the application of software security in functional safety and SOTIF, which will cover software frameworks in complex real-time systems and the principles of reliability and redundant design. Then the presentation will address the necessity of building systematic infrastructures to facilitate information security protection function of software products. Detailed elaboration on this matter will be given, focusing on the design and requirements of information security protection in AD applications in the fields of vehicle border, vehicle terminals, communication and transmission, and security service systems. Bringing together different fields, software security will be the key to the high-volume development of AD systems!

    自动驾驶系统本质是运行在复杂嵌入式系统平台上的全栈软件系统,车载部件特别是自动驾驶对安全的极 致要求首先是系统的软件安全考虑。软件安全在功能安全和SOTIF 的应用将首先介绍,包括复杂实时系统 的软件架构、可靠性及冗余设计的核心思想;软件产品带来的信息安全防护功能需要体系建设,包括车边 界、车内终端、通信和传输、安全服务体系方面,自动驾驶应用的信息安全防护在这四方面的具体设计和 要求将阐述。作为跨行业的应用和融合技术,软件安全将是自动驾驶系统量产开发的最关键技术!

尚进@广汽研究院硅谷研发中心 2018-11-27 08:39:11
  • 附件: 1 个
  • 大小: 1.31 M
  • 自动驾驶汽车的设计确认和安全分析
  • 自动驾驶汽车的设计确认和安全分析

    通过关于自动驾驶汽车设计、安全评估和确认方法论的多个联合研究项目,我们取得相应的科学和技术成 果,涉及以下几个方面: • 如何给自主系统提供保障; • 如何改进使自主系统相关知识概念化的方式; • 我收集到了相关证据,证明自主系统是如何运转的; • 自主系统有多大程度会暴露在可能造成人员危害的关键场景。 我们尝试去描述增量工程框架的基础要件,这些基础要件已经应用于新技术开发,促进了运行部署领域分 析和前端设计优化流程 的交互。同时多种仿真技术的应用正在加速替代了系统的实际试验。

    In the context of a methodological cooperation achieved through different Research project, which concerned design, safety assessment and validation of autonomous vehicles, some scientific and technical material has been produced and collected about how to provide some assurance about autonomous systems and how it has to change the way we conceptualize knowledge about such systems and we produce evidence about how they will behave and how far they will be exposed to critical situations able to cause human damages. We try to describe the corner stones of an incremental engineering framework, which has already begun in new technology application development, and where close interaction between operational deployment field analysis and front-end design optimization process is fostered, at the same time whilst multiple simulation technics are pushed forward to substitute with real experimentation of the system.

2018-11-27 08:34:42
  • 附件: 1 个
  • 大小: 2.87 M
王艳辉 360集团隐私审核总监 2018-09-17 12:42:57
  • 附件: 1 个
  • 大小: 1.18 M
  • Secure SDLC Practices in Smart Contracts Development
    • What can help with Smart Contracts Security
    • Web vs Smart Contracts
    • How to "buidl" a secure smart contract?
    • SDLC Practices
      • 1.Threat Assessment
      • 2.Security Requirements
      • 3.Developer Education
      • 4.PrivateKey Management
      • 5.QA Testing
      • 6.Security Testing
      • 7.Compliance
    • Conclusion
PavloRadchuk @rdchksec 2018-09-08 11:30:58
  • 附件: 1 个
  • 大小: 2.03 M
  • Hacking You Without Password
    • 关于Oauth2.0
    • 授权类型
    • web授权
    • 应用程序授权
    • 场景
    • 白名单配置
    • Token Leak
    • Detail
    • POC/EXP
    • 某IM产品存在【点链接上了你账号】
    • 小问题,大危害
    • Login Redirect
    • Qrljacking
    • 微博某缺陷设计多款APP
    • CSRF之双向登陆某账号
    • API Leak
    • Login Google
    • Jetbrains Team Work
    • Use old poc
    • 利用 xss Platform got it
    • Demo MP4
    • Other
    • Redirect Bypass
    • Help Me(how to fixed)
泳少@YongShao 2018-09-08 11:25:42
  • 附件: 1 个
  • 大小: 88.26 M
顺丰-洪生伟 2018-08-19 10:42:53
  • 附件: 1 个
  • 大小: 2.19 M
  • 创新安全架构、实现有效安全的最佳实践
    • 2017主要网络安全威胁分析
    • 企业提高安全性面临的最大障碍
    • 在这场攻防较量中。。。
    • 如何去更好地做出安全考虑
    • 思科SAFE安全设计
    • Step1:安全能力设计
      • 专业安全评估提炼安全需求
      • 安全能力:可见性是基础,安全情报是大脑
      • 可见性的实现举例
      • 全球化的安全情报
      • Talos对WannyCry 勒索软件的分析与防御
      • Talos 对Nyetya分析
      • 威胁情报的落地——安全设备的执行能力
      • 安全能力需要无时不在
    • Step 2:架构设计
      • 多服务平台的使用
      • 安全能力之间的信息共享
      • 网络基础平台可以为安全做出更多
    • Step 3:部署与运维设计
      • 多选择的部署模式
      • 思科验证设计,让安全部署更快更准确
      • 安全部署运维专业服务
      • 我们的目标:不断缩短 TTD
徐洪涛 hongtxu@cisco.com 2017-12-20 13:41:00
  • 附件: 1 个
  • 大小: 9.61 M
  • 代码未写,漏洞已出——谈谈设计不当导致的安全问题
  • 软件安全问题由来已久,品种繁多。但无外乎两大类。一类是实现的问题,在编码过程中才出现。另一大类是设计问题,在详细设计甚至概要设计里就有了。这个演讲将带着大家通过分析一些历史上的真实案例,来认识设计类型的漏洞,以及思考减少这类问题的方法。

    • 比较数据的学问
    • 里外不是人的 FTP 协议
    • 支付系统和交易系统的耦合不当
    • BadBarcode 问题
    • BadTunnel 问题
于旸(TK) / 腾讯 玄武实验室总监 2017-05-02 14:55:53
  • 附件: 1 个
  • 大小: 0.95 M