首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击

  • A+
所属分类:安全文章

首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


Hacking Club技术趴


漏洞挖掘——思路链攻击


Live Long and PWN


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


近日,360众测平台联合360BugCloud在斗鱼平台直播了主题为漏洞挖掘——思路链攻击”的首期Hacking Club技术趴。


本次直播分享涵盖了代码审计、0day漏洞挖掘、业务逻辑漏洞的思路分析等热点内容,共吸引数百名360众测认证白帽及360BugCloud安全研究员们的关注,直播最高热度达到4.1万,弹幕总计1.5万条




议题一


《基于0day角度下攻防思路》

BY legend


在本次直播中,顺丰科技安全工程师legend从Web到二进制,用实例为大家详细解读了基于0day角度下的攻防思路。


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


白帽子点评






点评1:之前完全不了解fuzzing对于PWN的作用,实战演习的时候感觉打开了思路

点评2Web-PWN结合 又新颖又精彩




议题二


《探寻逻辑漏洞挖掘的通用思路》

BY 月神


任何业务的背后,都伴随着无数的产品逻辑,研发人员往往因为疏忽了一些不易察觉的逻辑漏洞,而为企业系统埋下了严重的安全隐患。


正如月神所说,挖掘逻辑漏洞的乐趣就在于想出新的思路,绕过程序员设计的逻辑并从中获得“快乐”。他搭建了本地商城环境并逐一复现了这些业务出现逻辑问题的原因,与大家一起探寻逻辑漏洞背后的本质原理。


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


白帽子点评






点评1:贴近实战,思路创新,掌握了新姿势

点评2非常贴合众测实战中的安全研究

点评3思路很新奇,这种思路在平时开发中不太能考虑到




议题三







《0day套餐-从代码层逻辑分析到完整利用过程》

BY 画船听雨眠


画船师傅开门见山,抛出了两个关键问题:

1、代码审计,审计哪里(去哪里找洞)? 

2、如何下手,从何处下手(怎么找洞)? 


然后以某CMS的 0day 漏洞为例进行代码审计分享,为大家带来代码逻辑分析以及漏洞完整复现。


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


白帽子点评






点评1:可以充分的学习漏洞原理

点评2很详细、很有干货,但是时间不太够,没来得及消化吸收就结束了,太可惜了



技术趴精彩花絮



360众测Hacking Club运营小姐姐“妮妮”和“锤锤”首次主持,直播亮相。


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


360众测技术负责人:TNT,与大家分享了技术趴的创办初心:崇尚技术,只讲干货。


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


活动中奖名单



恭喜如下师傅成为本期Hacking Club技术趴互动环节抽奖的幸运锦鲤~


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


更多精彩内容,你懂的,在此就不透露细节啦!感兴趣的白帽大大们,欢迎关注下期Hacking Club技术趴哦,满满的干货等你来。咱们下期见!


演讲议题持续征集中

欢迎各位师傅踊跃投稿~


点击“阅读原文”开始投稿


首期Hacking Club技术趴回顾:漏洞挖掘—思路链攻击


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: