有关Web3与DID的思考-资金追溯和地址画像的区块链安全应用
  • 作者: Plume – Bitrace 安全研究
  • 收录:
  • 简介:

- DID在区块链生态中的前景 - 区块链的安全问题 - 如何建立DID风险评估模型 - DID身份画像在安全生态中的应用 - 缺点和不足 DID规范的提出与区块链生态中地址即身份的技术特征不谋而合。但回顾区块链的发展历程发现,类似DID的概念在强调保护用户隐私及声明网络资源所有权的同时,似乎也为骇客活动提供了便利。 在去中心化场景下如何感知隐藏在DID背后的

解锁工控设备固件提取的各类方法
  • 作者: 高剑
  • 收录:
  • 简介:

- 背景介绍 - 典型的几类工控设备固件提取方法 - 固件提取方法总结 在工控安全研究的过程中,会遇到诸多困难,其中首当其冲的是固件的获取困难。很多厂商不提供固件下载,即使可下载也是加密处理后的固件,无法有效进行后续的研究。 本议题主要针对该困难,提出了一套在国内外工控厂商(西门子、ABB等)广泛使用的设备中验证后的有效方法论,该方法论中根据设备的不同特点提出了针对性

返璞归真 重识物理安全与近源渗透
  • 作者: PushEAX
  • 收录:
  • 简介:

- 第一章 :近源威胁面分析 - 第二章 :近源渗透手段 - 第三章 : ANT Tools工具包介绍 威胁分析: 近源威胁远不止黑客攻击。在本议题中,我们将分析近源渗透的攻击面和攻击手段。包括不限于: ▶ 在冗长的硬件供应链和维护环节,有大量的人员可以接触设备,在硬件或固件中投毒,或是在维护过程中窃取数据。 ▶ 数据取证是司法实践中广泛应用的手段。

如何从 defi 中捡钱-智能合约安全代码审计
  • 作者: @Snowming & @Rivaill
  • 收录:
  • 简介:

- DeFi”与“捡钱” - DeFi 捡钱案例” - 从“捡钱”到“抢钱” - 成为“web3 英雄” 该议题是关于区块链安全的,目前区块链安全是比较热门和新的 topic。 该议题将结合至少两个真实知名项目中的 issues(包括未披露的),说明如何通过代码审计,找出来一些 defi 项目中的套利点。 另外以此为切入点,介绍关于智能合约代码审计的流程方法

TABBY: Java Code Review like a pro
  • 作者: 王柏柱(wh1t3p1g)
  • 收录:
  • 简介:

本议题主要讲述如何从零到一构建自己的java自动化代码审计方案,并且以利用链挖掘、基础漏洞挖掘方法、进阶漏洞挖掘方法三个部分分享具体的案例。 分享内容主要涉及: - 1. 基于代码属性图的漏洞挖掘方案(tabby原理、实现思路) - 2. 利用代码属性图来挖掘利用链(包括对市面上常见的利用链挖掘思路) - 3. 利用代码属性图来挖掘常见的通用web漏洞(以国内某著名商业应

Hacking JSON
  • 作者: 浅蓝
  • 收录:
  • 简介:

- JSON - tricks - JSON - Gadgets JSON 广泛地被应用在各类程序中,这也使其成为了攻防中的焦点。作为最受欢迎的数据交换格式,它被各类编程语言所实现,作为Java开发者最受欢迎之一的 fastjson 服务了无数的 JavaWeb 应用,经过对它的研究我找到了一种可以绕过 1.2.80 版本内部安全检查的方法。 我将在本次议题分享