2016年5月28日,补天漏洞响应平台-——中国首个现金奖励漏洞响应平台,在北京798艺术区开启了补天白帽技术沙龙之旅的第一场活动。本次沙龙之旅旨在为专注于网络安全、并对互联网行业做出了卓越贡献的白帽子们,提供一个分享技术、交流经验的机会与平台。
本次交流会邀请到了多位在安全领域经验丰富的大咖,交流气氛非常热烈,在沙龙上,不仅有《渗透测试技巧详解》这样的重磅话题,还有《内网渗透中“进击的巨人”——SSRF》、《二进制漏洞挖掘狗的日常》等专项的技术分享,给白帽子带来了一场技术盛宴。
安全盒子团队SecBox Team的创始人王松_Striker,从黑客的视角深入浅出地展开了他的议题《内网渗透中“进击的巨人”——SSRF》。
他认为,在当前的信息安全领域,安全人员的大部分注意力仍然集中于如何防范那些来自网络外部的恶意攻击,但是忽略了黑客攻击的核心目标是窃取企业数据,对此他着重分析了内网渗透中“进击的巨人”——SSRF(服务端请求伪造)是如何危害企业的网络安全的。
360 vulcan Team安全团队成员古河,在《二进制漏洞挖掘狗的日常》的议题里分享了二进制漏洞挖掘相关的工作内容、方式、方法,以及团队在参加全球闻名的黑客大赛pwn2own中的准备工作、花絮以及收获,让在座的白帽子们大开眼界。
古河在360核心安全事业部从事了多年二进制漏洞挖掘利用、系统安全研究、安全产品的开发,他在各系统和流行软件中独立发现过众多高危漏洞,并获得过超过100个CVE致谢,且作为BlackHat、SysCan、44Con、 XCon等著名安全会议特邀演讲者,随团队在pwn2own大赛上攻破过IE11浏览器、google chrome浏览器、以及运行在Edge浏览器中的Flash插件,有着辉煌的战绩。
压轴分享的是在安全行业极具盛名的Mickey,他专注渗透技术十余年,从2006年开始担任国内发行量最大的网络安全类杂志《黑客X档案》的特邀专栏作家,发表多篇有影响力的渗透技术文章,整整影响了一代年轻白帽子,有很强的技术能力和行业影响力。是国内知名安全团队Insight labs 安全小组的核心成员。
他的议题《渗透测试技巧详解》极具含金量,分享了他在渗透测试中所总结的必备基础知识与高级技巧,阐述了如何利用逆向思维和黑客工具进行本地提权;如何进行网络信息收集、过滤与甄别“low hanging fruit”;如何从不入域的Linux主机到内网域控的高级渗透技巧,获得了在场白帽子的一致好评。
除了技术分享之外,穿插在沙龙中的多个趣味小游戏和安全知识有奖竞答比赛也得到了白帽子们的积极参与。
本次活动方补天漏洞响应平台的负责人白健介绍到,补天平台作为白帽子和厂商之间的公益性平台,一直立志实现厂商与白帽子之间的共赢。今后补天将会通过这种形式,给白帽子提供更多的交流机会。“我们已经开始筹划下一期上海站的沙龙了”,白健这样告诉记者。
