新闻中心

News Center

BCS2022|多名白帽安全专家共同促进前沿技术能力提升
发布日期:2022-08-19 作者:北京网络安全大会

    8月18日下午,由补天漏洞响应平台主办的BCS2022大湾区白帽论坛在深圳前海拉开帷幕。来自赛博昆仑、字节跳动无恒实验室、云影实验室、阿里云和全球鹰的多位知名白帽子安全专家受邀出席本次论坛并分享主题演讲,共同探讨沙箱逃逸、漏洞利用、蜜罐攻防、资产测绘等方面的技术经验与前沿方法。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    论坛伊始,奇安信集团补天漏洞响应平台负责人田朋率先为大家介绍了“补天众测新模式”。他表示,随着网络安全实践工作的持续深入发展,白帽子已经成为了各项网络安全工作中不可或缺的关键要素,白帽人才培养也是我国网络安全人才发展战略的重要组成部分,同时也需要更多高精专人才。为了更好解决高阶白帽精英稀缺、腰部力量不足的核心问题,补天推出校园网安人才培养计划以及补天妙挖在线实验室,帮助各位白帽子通过补天平台持续进阶。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    以“学、战、奖、推”为主的校园网络人才专项培养计划,即通过校园沙龙、攻防社区完成线上学习,再通过实战化靶场、真实漏洞挖掘场景实现在线漏洞挖掘,同时配套相应的荣誉奖励,并打通企业就业通道,链接企业资源池为优秀白帽提供实践机会,企业推送简历直通等。

    补天妙挖在线实验室的三个核心目标,即升级测试对象、升级测试效率和升级目标奖金。实验室集成了外部稀缺且重要的软硬件环境部署到线上,通过平台虚拟化部署,白帽子可以直接在云端测试不同行业多种类型的应用系统、操作系统等。

    田朋表示:“补天平台一直致力于打造持续为企业、白帽子创造价值,同时也肩负着对新领域、新方向的探索,并应用到实战中。”

    在接下来的技术分享环节中,字节跳动无恒实验室安全研究员游云淘以“Chrome沙箱逃逸漏洞的挖掘与利用”为主题,向大家展示了以在野CVE-2021-30633为例的漏洞利用方法,分享如何利用CodeQL对Chrome沙箱逃逸漏洞进行建模,并辅助分析。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    在蜜罐攻防方面,云影实验室安全研发工程师闫思宇表示:“近年来,关于蜜罐被讨论最多的就是溯源反制技术当然蜜罐的技术不止有溯源反制。”闫思宇强调了蜜罐在攻防对抗场景下的重要作用,并分享了蜜罐里常用的欺骗、溯源、反制技术,以及如何识别、绕过蜜罐,隐藏自身保护自己的一些思路和技巧。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    Windows一直是漏洞挖掘的重点领域,也是需要长期关注和探讨的焦点,来自北京赛博昆仑科技有限公司的安全研究员温志华,带来了题为《WindowsDirtyPipe:TheNarrowPipetoEscapeAppContainer》的干货内容,针对昆仑实验室在2021年天府杯比赛中用于从Adobereader的AppContainer中沙箱逃逸的漏洞进行分析,并重点讲解该漏洞的一个利用过程和思路,尤其是利用的内存布局反映了当下Windows系统池溢出利用的挑战性和趣味性,具有一定的通用性。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    此外,奇安信全球鹰事业部安全研究员王智成向大家介绍了网络空间测绘平台的信息搜集技巧,他强调:“通过网络空间测绘技术,发现互联网资产暴露面、识别资产类型,实现互联网资产的可查、可定位。”活动现场,王智成通过事例演示企业信息搜集及漏洞应急中网络空间测绘平台的使用,并总结出搜集未授权IoT设备及敏感服务的检索技巧,助力网络空间安全的维护。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    最后,阿里云高级安全专家、阿里云WAF/RASP产品负责人徐元振(pyn3rd)主要介绍了云DNS的安全问题,从DNS协议出发介绍云DNS的实现架构,通过案例分别引出两种新的攻击方式,DNS域名劫持和DNS拒绝服务的攻击方式。徐元振还给出了缓解攻击的相关建议,帮助场内外听众共同建设更安全的云DNS。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    据介绍,大湾区白帽论坛是以白帽子攻防技术交流为核心的网络安全论坛,旨在通过对白帽子有组织的技术交流,提升白帽群体的整体技术能力和交流学习氛围。


相关新闻
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。经过裁判组的审核,现公布最终获奖名单。一、决赛战队获奖名单二、指导教师获奖名单点击“阅读原文”,登陆大赛官网,了解更多详情,颁奖典礼时间将另行通知第六届蓝帽杯组委会2022年10月10日.

2022-10-10

实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。待裁判组审核WP(解题思路)后,将公布最终获奖名单。上午9时,中国人民公安大学团委副书记郑重宣布比赛开始。总决赛首次采取线上AWDP赛制,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略的能力。成功利用漏.

2022-09-22

第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
各参赛单位:第六届“蓝帽杯”全国大学生网络安全技能大赛决赛将于9月21日9:00-17:00以线上方式举行具体安排如下:1大赛宗旨以习近平新时代中国特色社会主义思想为指导,全面贯彻落实习近平总书记关于国家安全、网络安全、公安工作、教育工作、人才工作等系列重要论述精神,深入推进落实网络强国战略重大决策部署,开辟网络安全高校实践教学新途径,促进网络安全教学单位与实战部门之间的合作共建,持续为培养、选拔.

2022-09-07

距离大会开幕

2022.5.24-5.26

北京·国家会议中心