*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
6月23日,DC0531在泉城济南禧悦东方酒店顺利举办,来自各个安全领域的大牛们给大家带来了一场炫酷的技术视听盛宴!距离会议召开还有几个小时,早早就有迫不及待等在会场生怕去晚了没位置的大佬,开始签到入场之后,位置一抢而空,前排vvip绝佳位置也被占满(毕竟和大牛们近距离接触的机会没几次,原谅没出息的小编也去占了一个位)出售瓜子位置哦~
国家互联网应急中心山东分中心的领导赵煜为大会致开幕词,他表示“济南能有机会承办这样国际级的活动,令人深感欣慰也备受鼓舞”,作为国家级网络安全应急机构的代表,真诚的希望到会的业内技术精英以及众多网络安全的年轻爱好者们,能够树立正确的网络安全观,与国家相关机构一道,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,实现跨网络、跨系统、跨地域的公共互联网网络安全应急技术支撑体系建设,形成了全国性的互联网网络安全信息共享、技术协调能力。
作为本次大会的发起人,恒安嘉新水滴安全实验室安全研究员刘新鹏,介绍了DEFCON以及DEFCON GROUP目前在中国的发展情况,以及DC0531主要的研究方向等。
下面是满满的干货议题分享
议题一:深入理解智能合约漏洞
议题讲解大佬:蒋劭捷、王伟波
议题解读:
面对日益突出的区块链安全问题和以太坊智能合约漏洞近来日益增多,本议题主要带来的是解析以太坊智能合约漏洞的几种形式,智能合约安全性问题以及我们的应对措施。
议题二:Linux/Android 内核Heap Spray的几种姿势
议题讲解大佬:赵振江
议题解读:
简单介绍Linux/Android 内核漏洞分析方法和缓解现状,并归纳和提出在内核漏洞利用时heap spray的几种方法。
议题三:新攻击时代下情报对抗与落地
议题讲解大佬:胡付博
议题解读:
情报直接驱动决策,如何将信息转变为情报,本次分享将利用tor网络下的钓鱼攻击案例和大家探讨情报怎么来、到哪儿去、怎么落地的问题。
议题四:看不到的攻击面
议题讲解大佬:宫华
议题解读:
Web安全里容易被忽略掉的攻击面,意想不到的多业务结合导致的命令执行、缓存污染,不可见的私有接口调用,HTTP盲攻击精华部分。
议题五:国内SRC漏洞挖掘经验和技巧分享
议题讲解大佬:唐朝
议题解读:
国内企业安全应急响应平台越来越多,对白帽子来说是好消息,白帽子通过提交企业漏洞给相应平台不仅能积累提升技术也可以获得实际奖励。由于各家平台规则各异、侧重不同,所以对白帽子来说选择适合自己的平台尤为重要。近几年我一直在网易,唯品会,阿里巴巴等平台提交漏洞,帮助企业修复了一些严重漏洞并且通过和审核人员交流了解到了一些企业安全的真实需求。本次将和大家分享以WEB为主的SRC漏洞挖掘经验和一些小技巧,希望能够和大家互相交流学习。
师者,答疑解惑也~讲师在议题讲解完毕之后,大家不仅叹服于大佬就是大佬,和讲师们的交流也让我们学到很多干货,只能默默对自己说一句革命尚未成功,白帽仍需努力~
中间休息时间主办方为大家准备了抽奖活动,你没有听错,在听干货学习姿势的同时,还可以奖品拿!抽奖的概率简直比你写程序出bug的概率还高呢,羡慕拿着抽到小米手环的大佬。
议题分享完毕之后的village time阶段,现场简直火爆,体验LockPick开锁,亲手打造一个网络流量监听工具,学习nano wireless...干货是不是很足!
紧接着是观摩大佬现场打CTF,c26大佬太强,短时间内ak了web题目,发起人之一Nu1L队长对于题目进行了讲解,同时进行颁奖。
会议结束,天台,烤全羊,啤酒,大佬,晚风习习中也为DC0531画上了一个完美的句号。
DEFCON GROUP 0531圆满举办成功,感谢各位分享议题的讲师们,以及从各地赶来赴会的参会者们,DEFCON GROUP 0531我们未完待续!!!
PPT获取链接:https://pan.baidu.com/s/1Vq7RL58Dgvzyjoht51klpg 密码:ftic