资料列表
Preview Name 作者 Date File info
  • 代码未写,漏洞已出——谈谈设计不当导致的安全问题
  • 软件安全问题由来已久,品种繁多。但无外乎两大类。一类是实现的问题,在编码过程中才出现。另一大类是设计问题,在详细设计甚至概要设计里就有了。这个演讲将带着大家通过分析一些历史上的真实案例,来认识设计类型的漏洞,以及思考减少这类问题的方法。

    • 比较数据的学问
    • 里外不是人的 FTP 协议
    • 支付系统和交易系统的耦合不当
    • BadBarcode 问题
    • BadTunnel 问题
于旸(TK) / 腾讯 玄武实验室总监 2017-05-02 14:55:53
  • 附件: 1 个
  • 大小: 0.95 M
  • 他山之石,可以攻御——谈谈一类没“技术”含量的绕过漏洞
  • 此议题要探讨的安全问题,不需要专业的漏洞挖掘技术。一个对生活有心的技术小白也可能发现此类漏洞。当攻击者想要突破某个安全防御的时候,可能不用硬碰硬,就有很多其他正常功能可以帮他绕过你的防御。同时,也分享本人发现的一些漏洞案例来谈谈在安全设计时,怎么尽量避免此类风险。

@呆子不开口 吕伟 / 宝宝树 安全总监 2017-05-02 14:42:42
  • 附件: 2 个
  • 大小: 7.07 M
吴志成 Gr36_ 2017-03-30 07:57:32
  • 附件: 1 个
  • 大小: 6.72 M
  • 与业务融合的漏洞检测之路-猪猪侠-20150112
    • DEMO 1 WEB2.0服务端
    • DEMO 2 移动客户端
    • 什么是业务安全?
    • 怎么找业务系统的漏洞?
    • 案列1:有排序的地方
    • 案列2:有分页的地方
    • 案列3:有搜索的地方
    • 案列4:有分类的地方
    • 案列5:有选择的地方
    • DNS安全--万网(这不是XSS)
    • 最安全的DNS
    • 找回密码设计--业务流程安全
    • How?
微博:@ringzero 猪猪侠 2017-03-28 17:46:34
  • 附件: 1 个
  • 大小: 2.71 M
Blood_Zer0 2017-03-20 16:33:46
  • 附件: 1 个
  • 大小: 1.65 M
李昌志 2017-01-20 12:19:46
  • 附件: 1 个
  • 大小: 2.15 M
  • 永无休止的业务逻辑“漏洞”
  • 业务逻辑漏洞,它本身不是咱们说的网络层,系统层,代码层,它本身是跟人相关的,它称之为业务设计缺陷。接下来锅涛老师就给大家全方位讲解一下,在我们程序开发过程中,怎么去规避。除了学会如何规避,还将引发你去思考,思考这个漏洞它是怎么让黑客发现的,就是大家经常会说的一句话,如果你不知道漏洞是怎么来的,那你的防护永远是被动。

    • 业务多样化发展
    • 有“利益”的地方就有黑客
    • 也许各位已经对以下漏洞”司空见惯“
    • 从黑客攻击角度分析未来攻击的主战场
    • 黑客为什么要平衡攻击成本
    • 为何“业务逻辑漏洞”成为黑客的主战场
    • 黑无止境的根源
    • 业务场景中分析业务逻辑”漏洞“
    • 衍生的“业务逻辑漏洞”
    • 黑客比我们更了解我们的”业务逻辑“
    • 业务场景之密码重置
    • 0x00(注册)任意用户注册
    • 0x00(注册)遍历用户
    • 0x00(登录)撞库
    • 0x00(登录)手势密码解锁
    • 0x00(登录)身份认证三部曲
    • 0x00(找回密码)任意用户密码重置
    • 0x00(找回密码)客户端验证码
    • 0x01(交易)任意申贷信用额度
    • 0x02(支付)支付密码绕过
    • 0x03任意支付密码修改
    • 应对法则
知道创宇 锅涛 2016-11-22 12:51:07
  • 附件: 1 个
  • 大小: 16.41 M
  • Hacking Cloud Product
    • 分类和架构
    • 隐匿在结界内的隐患
    • 以点破 -Hacking
    • 总结:How to hack

    从黑客思维角度分析多类云产品的脆弱点,如何突破云边界,并给出一些如何影响云产品的安全漏洞案例。

李可奕 ID:Demon 来自阿里云-云平台安全 2016-09-08 09:00:31
  • 附件: 1 个
  • 大小: 1.12 M
张璇 山东警察学院 网络空间安全与执法协同创新中心 2016-09-05 12:59:57
  • 附件: 1 个
  • 大小: 5.32 M
  • 比特币交易所安全内幕
  • 周明昊进行了国内外比特币行业安全事故的分享,介绍了MtGox、Bitstamp、一次亲身处理的APT、比特币交易所行业的安全特征、作为“大蜜罐”经历过的各种花式攻击、多重签名技术的应用、Google Authentication的应用、247365高可用的挑战、与其它部门内部配合上的经验、如何围绕着核心资产来做安全、做安全需要了解人性——一则和产品发生分歧时的故事以及用塔防游戏的理念来阐述安全、开发、运维的配合关系。

    在演讲中,他还讲述了印度白帽和比特币的故事、对区块链技术的展望、面对云服务化冲击的思考。

    议题内容介绍

    • 比特币行业的 安全案例
    • 分享技术 解决方案
    • 部门间配 合的故事
    • 区块链技 术的未来
周明昊 2016-08-01 07:52:07
  • 附件: 1 个
  • 大小: 1.18 M