昨天雷锋网编辑参加了一个会,本来是奔着丰厚的奖励去的,没想到找到几个发家致富的秘诀。
一、二进制漏洞挖掘指南
演讲嘉宾 K0
K0把自己介绍为“一只在补天众多web大佬中勉强生存的菜鸡二进制选手。”
如果说女白帽子在所有白帽子里是一个稀缺的存在,那二进制白帽子在所有白帽子里面就是更稀缺的存在。
用一个字概括二进制选手在漏洞平台及SRC平台的生存现状就是一个字:难。
到底难在哪里?
平台审核难。
挖掘漏洞难,时间周期长。
企业对于客户端安全关注度较低。
那如何在这艰难的境地中成为一名实战性的二进制选手?
把大象装进冰箱需要三步,挖出二进制漏洞的流程也只需要三步。
K0 将其总结为分析、利用、挖掘,这三步的难易程度依次增加。
分析是前提,需了解漏洞原理等信息,这里K0也友情推荐了漏洞分析网站Exploit Databas,方便小伙伴迅速查找资料。而漏洞的利用实际上是最精彩的一环,需要多读一些大佬的作品。
二进制的挖掘有一定难度,但这条“不归路”一直不乏挑战者。
二、众测奖金高?月入24万不是梦!
演讲嘉宾 Jkgh006
在这次演讲开始之前,雷锋网编辑就已经耳闻嘉宾的履历:360众测项目月入24W+黑客,众测第一人。
360众测是基于互联网的安全测试协作平台,通过定向邀请的方式,集结平台上技术过硬、声誉良好的精英白帽,为企业提供定向的安全渗透测试与漏洞发现服务。Jkgh006 通过众测中的有趣案例以及经验,用一个个小视角分析企业内部安全建设方向,以及给出应用设计框架的安全方案,从开发的角度理解系统上线各个阶段安全的重要性。
不过听了006师傅讲了这么多挖众测的道理,却依然挖不出来一个洞(暴风式哭泣)。
三、你离女神有多远?
演讲嘉宾 残废
残废把自己称为一个俗人,一个眼里只有吃喝拉撒睡,重点是“睡”的俗人。
这个词有那么一点点羞耻,但又是件大事。
众所周知,程序员是最缺爱的职业,而在大批程序员中,从事网络安全方向的白帽子们一定是单身狗最多的行业。本着乐于助人(实际是八卦)的精神,残废在大学时候就干起了帮好基友寻找妹子联系方式这事。
在已知信息只有妹子图书馆借阅卡号的前提下,残废开始寻找图书馆管理系统内网入口,期间无意发现一个输入查询系统,且发现系统安装了搜狗输入法。
在借助第三方输入法跳出沙盒后,他发现系统本身安装了XT800个人版控制软件。神助攻!就不就是妥妥的远程控制软件?
顺藤摸瓜,残废成功找到了妹纸的班级信息。
后来,这个女孩与他的基友变成了很好的牌友……
撩妹的手段讲了许多,残废表示还是没有女朋友,不过这大概就是黑客的神奇了,能了解别人不了解的信息,看到别人看不到的秘密。
四、防不胜防被钓鱼
演讲嘉宾 ROOTCLAY
你以为钓鱼还是简单的攻击者发送一条恶意链接,引诱用户点击这种手段吗?
拜托,这早就out了。
除了常见的发邮件以外,Package钓鱼、Docker钓鱼、Git钓鱼、IDN恶意域名钓鱼、OAuth钓鱼等一系列的钓鱼手法数不胜数,防不胜防。
在这些套路里面,当属求职信中包含恶意office文档,接受者点开文档就已被攻击最为意想不到。但最为吸引人的莫过于QQ群、微信群中流传的萌妹名单及联系方式文档,只要点进去,就……
城市套路多,不如回农村。
五、虾米!还有拜师大典?
议题结束后,雷锋网编辑居然看到赵彦,兜哥,茄子三位大神走上了演讲台,莫不是要来一段freestyle?
原来是白帽导师授勋仪式。
概括来说就是补天平台给了各位白帽子一个在大佬手下升级打怪的机会吧,台上三位就是一期白帽导师的大牛。
好了,各位白帽可以尽情表演,期待导师的爆灯了,雷锋网编辑为你们打call。