主页 / 2023 KCon 大会 / 议题列表
Modern Linux sandboxing technology
- 作者: 李强,杨玉彪
- 收录:
- 简介:
沙箱是安全领域的重要技术方向之一。Linux中虽然有众多的沙箱原语(比如seccomp、ptrace)和沙箱方案(比如nsjail、firejail等),但是这些方案都有很多各自的缺点,典型的比如seecomp配置规则负责、沙箱与被沙箱进程共享内核等。 一个理想的沙箱方案需要具备易用、强隔离、对被沙箱进程的完整观测等特点。为了满足内部对沙箱的需求,我们基于gVisor构建一款沙箱。该沙箱最大
闭源安卓系统下的漏洞自动化发现之旅
- 作者: 秦策(hearmen),望潮实验室(南京
- 收录:
- 简介:
在过去的十年中,EvilParcel 漏洞对于Android安全构成了严重威胁。通过构造 EvilParcel,攻击者可以在受攻击的应用程序或系统组件上触发内存破坏、提权或远程代码执行。尽管Android 13使用LazyValue来防御这种类型的漏洞,但由于Android生态系统的碎片化,主要手机厂商仍然面临着这种漏洞的威胁。 CodeQL是一种先进的代码分析引擎,使研究人员可以像处理数据
vSphere攻防技法分享
- 作者: 彭峙酿 Sangfor
- 收录:
- 简介:
VMware vSphere(简称 vSphere)是 VMware 旗下的一整套云计算基础架构虚拟化平台,自发布更新以来在全球已经拥有超过 250000 客户。vSphere 包括了 ESXi、vSphere client、vCeneter 等多个组件。 作为业界领先的虚拟化平台,vSphere 备受客户喜爱的同时,也是攻防对抗的重要战场。如针对 vSphere 勒索的相关活动在今年更是备
CI-CD攻击场景
- 作者: mx7krshell,安全攻防专家
- 收录:
- 简介:
近年来,供应链攻击事件频繁发生。其中,CI/CD流程的安全缺陷是供应链攻击的重要渠道之一,为了有效防范这种威胁,我们需要深入了解CI/CD安全所面临的问题和挑战。攻防不仅是技术层面的对抗,更是业务层面的博弈。我们需要掌握目标系统的业务逻辑、架构、数据流向等信息,以便发现并利用其薄弱环节。 本次演讲将从以下几个方面介绍: - 研究CI/CD安全背景:开发模式的演变、供应链安全、攻防趋势
AI纪元:新视角下的企业蓝军
- 作者: 俍梁 东北大学 软件学院
- 收录:
- 简介:
随着近几年AI的快速发展,我相信有不少的安全领域相关的从业者会考虑AI会不会对这个行业产生影响,如果更强大的AI能被引进这个领域,又将对它产生怎样的影响? 本次议题会分为以下两个板块来谈谈AI能做到什么,并简单的分析一下可能带来的影响,两个板块分别是代码审计和漏洞挖掘。 其中代码审计部分会分为三个方面:白盒,灰盒和黑盒,从不同的角度谈谈AI能为我们做些什么。 漏洞挖掘部分则以研究
近源攻击的安全研究思路分享
- 作者: 马良,绿盟科技格物实验室安全研究员
- 收录:
- 简介:
议题讲述了笔者实践过的一些近源攻击的场景和案例,全部都是从实战场景思考和制作,具有很强的实用性。以激发大家对近源攻击的关注和预防。 - 近源攻击安全研究的意义:近源攻击是一种针对物理接触或近距离接触的攻击方式,具有隐蔽性和高成功率的特点。研究近源攻击的意义在于揭示潜在的安全威胁,提高对这类攻击的防范意识和能力。 - 另类的激光窃听,创新之处:被动式激光窃听利用不可见的激光束传输