新闻中心

News Center

BCS2022|多名白帽安全专家共同促进前沿技术能力提升
发布日期:2022-08-19 作者:北京网络安全大会

    8月18日下午,由补天漏洞响应平台主办的BCS2022大湾区白帽论坛在深圳前海拉开帷幕。来自赛博昆仑、字节跳动无恒实验室、云影实验室、阿里云和全球鹰的多位知名白帽子安全专家受邀出席本次论坛并分享主题演讲,共同探讨沙箱逃逸、漏洞利用、蜜罐攻防、资产测绘等方面的技术经验与前沿方法。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    论坛伊始,奇安信集团补天漏洞响应平台负责人田朋率先为大家介绍了“补天众测新模式”。他表示,随着网络安全实践工作的持续深入发展,白帽子已经成为了各项网络安全工作中不可或缺的关键要素,白帽人才培养也是我国网络安全人才发展战略的重要组成部分,同时也需要更多高精专人才。为了更好解决高阶白帽精英稀缺、腰部力量不足的核心问题,补天推出校园网安人才培养计划以及补天妙挖在线实验室,帮助各位白帽子通过补天平台持续进阶。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    以“学、战、奖、推”为主的校园网络人才专项培养计划,即通过校园沙龙、攻防社区完成线上学习,再通过实战化靶场、真实漏洞挖掘场景实现在线漏洞挖掘,同时配套相应的荣誉奖励,并打通企业就业通道,链接企业资源池为优秀白帽提供实践机会,企业推送简历直通等。

    补天妙挖在线实验室的三个核心目标,即升级测试对象、升级测试效率和升级目标奖金。实验室集成了外部稀缺且重要的软硬件环境部署到线上,通过平台虚拟化部署,白帽子可以直接在云端测试不同行业多种类型的应用系统、操作系统等。

    田朋表示:“补天平台一直致力于打造持续为企业、白帽子创造价值,同时也肩负着对新领域、新方向的探索,并应用到实战中。”

    在接下来的技术分享环节中,字节跳动无恒实验室安全研究员游云淘以“Chrome沙箱逃逸漏洞的挖掘与利用”为主题,向大家展示了以在野CVE-2021-30633为例的漏洞利用方法,分享如何利用CodeQL对Chrome沙箱逃逸漏洞进行建模,并辅助分析。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    在蜜罐攻防方面,云影实验室安全研发工程师闫思宇表示:“近年来,关于蜜罐被讨论最多的就是溯源反制技术当然蜜罐的技术不止有溯源反制。”闫思宇强调了蜜罐在攻防对抗场景下的重要作用,并分享了蜜罐里常用的欺骗、溯源、反制技术,以及如何识别、绕过蜜罐,隐藏自身保护自己的一些思路和技巧。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    Windows一直是漏洞挖掘的重点领域,也是需要长期关注和探讨的焦点,来自北京赛博昆仑科技有限公司的安全研究员温志华,带来了题为《WindowsDirtyPipe:TheNarrowPipetoEscapeAppContainer》的干货内容,针对昆仑实验室在2021年天府杯比赛中用于从Adobereader的AppContainer中沙箱逃逸的漏洞进行分析,并重点讲解该漏洞的一个利用过程和思路,尤其是利用的内存布局反映了当下Windows系统池溢出利用的挑战性和趣味性,具有一定的通用性。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    此外,奇安信全球鹰事业部安全研究员王智成向大家介绍了网络空间测绘平台的信息搜集技巧,他强调:“通过网络空间测绘技术,发现互联网资产暴露面、识别资产类型,实现互联网资产的可查、可定位。”活动现场,王智成通过事例演示企业信息搜集及漏洞应急中网络空间测绘平台的使用,并总结出搜集未授权IoT设备及敏感服务的检索技巧,助力网络空间安全的维护。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    最后,阿里云高级安全专家、阿里云WAF/RASP产品负责人徐元振(pyn3rd)主要介绍了云DNS的安全问题,从DNS协议出发介绍云DNS的实现架构,通过案例分别引出两种新的攻击方式,DNS域名劫持和DNS拒绝服务的攻击方式。徐元振还给出了缓解攻击的相关建议,帮助场内外听众共同建设更安全的云DNS。

BCS2022|多名白帽安全专家共同促进前沿技术能力提升

    据介绍,大湾区白帽论坛是以白帽子攻防技术交流为核心的网络安全论坛,旨在通过对白帽子有组织的技术交流,提升白帽群体的整体技术能力和交流学习氛围。


相关新闻
RSAC2023丨从RSAC2023看ChatGPT如何用于网络攻击
RSAC2023丨从RSAC2023看ChatGPT如何用于网络攻击
ChatGPT从诞生伊始就引起了网络安全界的高度关注:它是否能用于网络攻击或者防护?它的训练过程是否存在数据安全隐患?它本身是否会遭到网络攻击?目前对ChatGPT在网络安全领域的应用尚处于初级阶段,我们看看本届RSAC大会上专家如何解读ChatGPT在网络安全领域的应用。

2023-05-08

凝聚网安力量,助推产业发展——2023第八届安全创客汇专家研讨会在京成功举行
凝聚网安力量,助推产业发展——2023第八届安全创客汇专家研讨会在京成功举行
安全创客汇1月6日,由奇安信集团、北京网络安全大会(BCS)、全国网络信息安全创业投资服务联盟(筹)、奇安投资等机构联合主办的第八届安全创客汇举办2023年首次专家研讨会,回顾2022安全创客汇的亮点与问题,并针对2023安全创客汇的赛制形式、研判标准、奖项设置等内容进行专题研讨。安全创客汇评委会副主席、赛博英杰董事长、正奇学苑创办人谭晓生,安全创客汇评委会主任、奇安信集团副总裁陈华平,中电智慧基.

2023-01-07

2022中国计算机大会数据安全治理论坛成功举办
2022中国计算机大会数据安全治理论坛成功举办
数据安全治理论坛2022中国计算机大会(CNCC2022)12月8日,由中国计算机学会主办,CCF计算机安全专业委员会、奇安信集团承办的CNCC2022数据安全治理论坛在线上举行。论坛由CCF计算机安全专委会荣誉主任,公安部第一研究所、第三研究所原所长严明主持,邀请政府主管单位、科研院所、安全厂商、企业安全主管等嘉宾出席,围绕“开拓数据安全从体系化框架到建设实践之路”主题,聚焦数据安全现阶段的问题.

2022-12-09

距离大会开幕

2022.5.24-5.26

北京·国家会议中心