预告!平安SRC线上沙龙系列主题活动第四期:漏洞挖掘专场,即将来袭!
临近年关,PSRC将迎来2022年最后一场线上沙龙系列主题活动!第四期活动将聚焦漏洞挖掘,邀请5位重磅嘉宾,从多角度、多领域来为大家分享漏洞挖掘技巧及方法。除了精彩议题,还有5个抽奖环节,丰富多彩的奖品等你来抽!
可立即关注微信视频号【平安集团安全应急响应】
预约直播,精彩绝不错过!


精彩议题提前看!

议题一
漏洞挖掘经验分享-从PDF导出到SSRF
在常见的PDF导出功能中,由于特定版本PDF转换组件针对用户传入特定标签的过滤不当,通过特殊构造的输入,可对服务器本地或内网进行SSRF攻击。本次演讲,将介绍常见的PDF导出功能涉及的组件类型,利用PDF导出功能中导出组件对输入内容,通过特殊构造的输入、提升,进行SSRF攻击,通过实战案例分享该类漏洞的测试技巧及手法。
嘉宾简介:
韦旭尧,来自平安寿险安全团队,负责寿险应用系统渗透测试、应急响应、SDLC流程实施工作,擅长挖掘逻辑漏洞。关注新型漏洞利用手法,辅助寿险研发部门提高安全开发能力。
议题二
Shiro反序列化流量分析
Apache Shiro 是一种功能强大且易于使用的Java安全框架,攻击者将生成恶意Payload进行AES加密,并通过Base64编码以rememberMe={value}形式发送给服务器。服务器将value进行Base64解码,然后将解码后数据进行AES解密,最后反序列化执行命令。
本次分享将从流量层面,站在防守方的角度去解析攻击者的Shiro反序列化操作,并通过对流量进行解密分析攻击者的行为。
嘉宾简介:
熊陶(ID:Secx),平安科技银河实验室安全研究员(蓝军雪豹组),深信服SRC TOP2 白帽子,擅长功防对抗、流量分析及逻辑类漏洞挖掘和硬件设备类的漏洞挖掘。
议题三
趣谈SRC逻辑漏洞挖掘
逻辑漏洞挖掘是一件非常有趣的事,本议题将从实战角度出发,以真实逻辑漏洞为例,分享漏洞信息收集方法和入门SRC逻辑漏洞挖掘的学习方法。
嘉宾简介:
王老师,Day1安全团队创始人,某甲方高级安全工程师,活跃于多家SRC漏洞平台,漏洞盒子S级白帽子,多家SRC TOP白帽子。
议题四
云安全漏洞的发现和利用
随着国内公有云市场的发展,各大云厂商都提供了多种多样的服务,但容易出现由于不安全配置、应用组件安全漏洞以及管理不当等问题造成的云凭证泄漏的情况。本次分享,将以实际案例为例,介绍5种最通用的凭证泄漏点,从SRC赏金猎人角度讲解其利用方式及影响。
嘉宾简介:
Oswin,晴天组织安全团队成员,字节跳动SRC 年度Top2 白帽子,UCloud SRC Top1 白帽子,2022 Kcon讲师,擅长挖掘云服务相关漏洞。
议题五
甲方视角下的代码审计
本议题旨在分享企业内部代码审计的最佳实践,内容包括完整的代码审计流程、人工代码审计要点、以及目前较为主流的Java、Go应用系统中常见高危漏洞的代码审计Checklist等,帮助甲方用户充分发挥优势,最大限度地挖掘应用系统的漏洞。
嘉宾简介:
hldf,奇安信资深代码审计负责人,奇安信产品安全团队开发安全负责人,网络安全行业从业多年,有丰富的代码审计经验。带领团队开展了大量的代码审计专项工作,通过持续优化代码审计方案,使公司产品的安全性得到了有效保障。

演讲嘉宾


奖品多多,等你来拿!

多轮抽奖环节,鼠标垫、存钱罐、T恤、盲盒等等多个礼品等你来抽!


直 播 预 约

扫描下方微信视频号
【平安集团安全应急响应】
预约直播,精彩绝不错过!
时间:2022年12月16日 14:00~17:30

主办方

协办方





点赞、在看,感谢你的阅读▼
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 1 推动不同文明交流对话、和谐共生 7904416
- 2 “涨工资”要来了吗 7808775
- 3 中国双航母首次同时现身西太 7712149
- 4 古今碰撞 绘出网络文明“新画卷” 7616152
- 5 小沈阳女儿将韩国solo出道 7519698
- 6 1.6亿粉丝网红面瘫哥在美被捕 7428915
- 7 网警:当心你的隐私被“共享” 7327857
- 8 韩乔生:国足在狼藉中翻出一粒金子 7236126
- 9 雷佳音好奇询问荔枝一天能吃几颗 7142628
- 10 李成钢:中美原则上达成协议框架 7042248