资料列表
Preview Name 作者 Date File info
陈思涛 北京长亭科技有限公司深圳分公司Web安全研究员 2018-09-18 10:15:24
  • 附件: 1 个
  • 大小: 0.93 M
  • 一分钱也是钱
  • 目录

    • 01 一分钱到底是不是钱
    • 02 我就是那被忽略的一分钱
    • 03 一元也没被幸免
    • 04 钱再多也要回归本质
种田 2018-09-13 12:51:28
  • 附件: 1 个
  • 大小: 0.62 M
  • 短网址的攻击与防御
  • 目录CONTENTS

    • PART01 短网址猜想
    • PART02 何谓短网址
    • PART03 短网址攻击实战
    • PART04 扩展短网址攻击面
    • PART05 短网址防御实践
彦修 2018-09-08 10:16:12
  • 附件: 1 个
  • 大小: 2.79 M
Derekli 乐信安全应急响应中心成员 2018-09-05 01:52:16
  • 附件: 1 个
  • 大小: 0.94 M
于忠臣-安赛科技 2018-09-02 11:21:08
  • 附件: 1 个
  • 大小: 3.56 M
屈波,Palo Alto Networks Distinguished Engineer 2018-09-01 03:26:07
  • 附件: 1 个
  • 大小: 10.6 M
马晨 白帽 id:mmmark 2018-08-19 10:48:53
  • 附件: 1 个
  • 大小: 1.07 M
戴城 2018-07-26 13:06:28
  • 附件: 1 个
  • 大小: 18.24 M
  • 模板注入与 FLASK
  • Server Side Template Injection, 服务端模板注入,最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh(呆爷),主要从模版注入Flask方向为大家带来了精彩的分享。

    模板注入相较于其他注入,例如xss、sql注入、xml注入等攻击,其本质思想是一致的,服务器端接受了用户的输入,未做验证或过滤便作为模板内容的一部分,在进行模板渲染时候,发生了代码执行。目前有很多模板引擎,都可能存在这样的问题。本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。

    • 模板注入基本成因
    • 沙箱逃逸的思路
    • 绕过防御
    • 使用JINJA2沙箱
Dayeh(呆爷) 小米安全 2018-07-18 08:03:06
  • 附件: 1 个
  • 大小: 4.87 M
  • 跨域资源那些事
  • 主要讲解在跨域获取资源中,程序开发者在开发过程中可能导致疏忽而引起的跨域安全问题导致的隐藏攻击面,主要介绍Flash,CORS等跨域获取资源中一些攻击方法和修复及防御

    目录

    • 主流跨域方式
    • 跨域方式的安全性
    • FLASH跨域利用实战
    • 未来之星-被忽视的CORS
    • 跨域漏洞的防御
黄加南Sevck 2018-07-17 02:16:31
  • 附件: 1 个
  • 大小: 4.35 M