主页 / KCon 2021 纵横 / 议题列表
顶级域攻击与接管指南
  • 作者: 郑同舟(ztz),360 政企安全高级攻
  • 时间
  • 简介:

- DNS Protocol介绍 - 云 DNS 场景劫持探讨 - 顶级域 DNS 场景劫持探讨 DNS 是重要的网络空间基石技术之一,众多新领域技术均或多或少结合了 DNS 的某些特性,而甚少考虑到 DNS 本身的安全问题。本议题主要围绕 DNS 与新领域技术结合场景,展现其易出现的安全风险。 议题亮点内容: 1、云上DNS劫持技术 2、顶级域劫持技术

FAIRPLAY DRM和混淆实现
  • 作者: 卢俊志(ID:@pwn0rz)、王馨笛、
  • 时间
  • 简介:

近年来,苹果为保护App Store分发的App免于盗版,开发了Fairplay DRM(DRM全称Digital Rights Management,即数字版权保护)技术,并申请了很多相关专利。而对安全研究来说,研究iOS App的必要前提是——破解Fairplay DRM加密的方式,俗称「砸壳」。 但长久以来,关于App DRM的研究很少,自从2013年苹果引入App DRM机制以后,虽

一枚字体CRASH到FUZZING的探索
  • 作者: 李松林(sunglin),知道创宇404
  • 时间
  • 简介:

- 1、fuzzing的介绍 - 2、fuzzing这么好玩,就crash了 - 3、进阶!apple 字体处理框架的fuzzing - 4、升级!fuzzing的探索与改造 - 5、继续fuzzing,收获漏洞! fuzzing 是个经久不衰的话题和热点,通过fuzzing方式的漏洞挖掘,一方面是新攻击面的挖掘或者是fuzzing的改造和编写,以字体漏洞 fuzzing 为

阿图因软件空间测绘系统的业务安全实践
  • 作者: 王连赢,腾讯安全玄武实验室高级安全研究员
  • 时间
  • 简介:

安全研究和业务落地可能是每个安全从业者都会面临的重要命题,二者相互依存却很难平衡。 本议题将介绍玄武实验室的阿图因系统在软件供应链安全、数据隐私安全、仿冒 APP 打击等业务场景的具体实践,通过大量真实案例展示这些业务场景中的关键问题、技术难点、解决方案和最终效果。 同时议题中也包含了对于如何平衡安全研究和业务价值体现的一些思考。

你的智能硬件出卖了你的信息 - 浅谈办公及教育场景硬件供应链安全
  • 作者: 秦时、吴帆、卢昊良@字节跳动无恒实验室安
  • 时间
  • 简介:

- IoT产品供应链的安全现状 - 常见的保护机制及实现缺陷 - 如何避免缺陷,保护供应链安全 智慧办公、智能教育给我们的工作学习带来了巨大便利,但是这些产品是否安全可靠呢? 字节跳动无恒实验室通过分析大量市面主流的办公教育类产品,发现大部分头部厂商的产品都存在设计缺陷,导致产品可以被植入病毒木马程序,进而窃取商业机密、监控家庭敏感地带。在本次分享中我们将以实际的产品为例,

剑走偏锋-蓝军实战缓解措施滥用
  • 作者: 顾佳伟,绿盟科技天元实验室安全研究员,M
  • 时间
  • 简介:

- Mitigations 101 - Red Team Operation - "Mitigation Hell" Windows中缓解措施(Mitigations)的引入,在削减攻击者机会窗口同时,亦为新的利用方式埋下伏笔。 本议题将由蓝军实战视角切入,剖析终端对抗领域中的缓解措施利用技术,并披露一种可破坏众多终端安全产品可用性的,新型防御削弱(ATT&CK T