主页 / 2023 KCon 大会 / 议题列表
SxS also stands for Specter by Side
- 作者: 张云海,绿盟科技天机实验室负责人
- 收录:
- 简介:
为了解决 DLL Hell 所导致的一系列问题,微软从 Windows 98 开始就引入了 Side-by-side assembly (SxS) 技术来管理系统中的众多DLL。然而,这一有着悠久历史的技术在设计上却存在着重大的安全缺陷,任意用户都可以利用它来获得系统最高权限。 本议题将回顾 SxS 的设计思路,分析 SxS 的工作机制,并在此基础之上阐述其中存在的安全缺陷,以及如何利用该缺
移动人脸识别安全攻防对抗之旅
- 作者: 谭桂涛(镜中人24),中国工商银行安全攻
- 收录:
- 简介:
随着技术的发展,人脸识别关技术在我们日常生活中的应用场景越来越多,尤其在金融领域人脸识别甚至被广泛用于用户身份的校验,各手机银行APP会通过人脸识别验证用户身份从而完成登录、修改密码等操作,甚至支持人脸识别校验后直接转账,移动端人脸识别的安全性得到更多的关注。 本议题将结合自己多年来在黑灰产技术研究、应用安全测试等工作中的积累,向大家介绍人脸识别技术在移动APP领域的应用现状,整理常见的攻击
梅塞德斯·奔驰汽车车机安全研究
- 作者: 王启泽,高级安全研究员/高级软件架构师/
- 收录:
- 简介:
梅赛德斯.奔驰汽车是世界顶级的豪华汽车品牌。本次研究的主要方向的是奔驰汽车NTG5.5车机系统的安全,研究NTG5.5车机的软硬件架构及其存在的安全问题,在研究过程中研究者发现了多个安全问题,并入选了梅赛德斯.奔驰汽车安全研究名人堂。 本次议题主要分三部分进行介绍。 1、背景:这部分主要对梅赛德斯.奔驰车机的发展及目前的安全研究进展进行了介绍。 2、研究过程:接下来对研究所涉及的
内窥镜-反混淆虚拟化加固的安卓程序
- 作者: 余帘,美团信息安全专家
- 收录:
- 简介:
1、研究灵感 研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同,因为二者使用的加固混淆器、使用的指令集都不同,且移动端app涉及到程序与安卓框架和native接口的交互。因此,该研究放在“恶意软件”、“移动安全”方向较为合适。 2、该研究提出了什么新概念或方法? 针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序,分别提出较为
Recent Progresses in Transfer-based Attack for Image Recognition
- 作者: 王晓森 Xiaosen Wang Hua
- 收录:
- 简介:
对抗样本(adversarial example)为深度学习应用带来了巨大的安全隐患,其中基于迁移的攻击(transfer-based attack)利用在替代模型上生成的对抗样本直接攻击目标模型,不需要接触目标模型,容易在现实场景中进行部署,引发了广泛的关注。 本议题将聚焦于图像识别领域中基于迁移的攻击,从动量、输入变换、目标函数和替代模型四个方面概述目前的研究进展、详细介绍我们近期提出的
WebLogic漏洞挖掘思路
- 作者: 丁立洁(thiscodecc)
- 收录:
- 简介:
本次议题是分享我在Oracle WebLogic产品中的漏洞挖掘思路,我收到了Oracle WebLogic产品14个CVE编号,我将分享我在Oracle WebLogic产品中发现漏洞的细节和挖掘过程。在议题最后我会分享如何反制Oracle WebLogic攻击者。