01 背景 02 攻击者的另辟蹊径 03 硬件盒子的安全分解

FireEye –APT安全的全球领导者 FireEye 核心能力(技术,情报及专家） 新命名的APT 组织 APT38案例研究 IoT安全事件 IoT安全现状 IoT安全性引发的担忧 案例分析：罗技智能家居管理系统（Logitech Harmony Hub）漏洞 Logitech Harmony Hub 漏洞分析 Logitech Harmony Hub 漏洞案例总结 IoT安全框架 黑客对机器学习的利用 FireEye 智能安全生态

漏洞响应的六思 标准化的重要性 如何在洞海茫茫中搜集漏洞 如何在漏洞中识别水洞 如何在漏洞响应阶段处理漏洞 如何跟踪漏洞 如何运营漏洞 如何归档漏洞 基于漏洞闭环的跟踪平台 基于漏洞闭环的跟踪平台基功能架构 漏洞闭环的跟踪平台->漏洞库 Q&A

最近一年的重大漏洞 “知己知彼，百战不殆”---精细化的互联网资产管理 如何建立互联网资产数据库 互联网资产数据的构建过程 互联网资产的组成 如何开展漏洞运营 漏洞运营过程中的痛点 我们的实践 持续、全面和高频率的漏洞检测 关于漏洞修复Gartner怎么说？ 高收益的漏洞修复策略 可视化的跟踪 安全产品线 “泰坦”人工智能安全态势感知平台 PRISM用户行为分析平台 棱镜UEBA用户行为分析平台 TRIDENT安全自动化测试平台 三叉戟–风险可视化 三叉戟-系统架构

目录 • 个人和团队介绍 • 引子 • 案例1-RFONTOBJ::VMAKEINACTIVE()堆破坏漏洞 • 案例2- XXXENABLEWNDSBARROWS UAF漏洞 • 案例3- EPATHOBJ::PPRFLATTENREC 未初始化漏洞 • 案例4 TAGCLS对象 UAF漏洞 • 案例5- NTUSERCALLNEXTHOOKEX类型混淆漏洞 • 总结 • 参考资料

袁劲松（昵称树哥）从2010年FreeBuf的成立讲起，一个“边缘”网络安全资讯论坛是如何发展至今天对业界影响深远的国内首屈一指的网络安全媒体。改变以迎接时代的挑战，未来FreeBuf仍将作为网络安全的先锋，巩固安全行业的瞭望台之位。 他还介绍了漏洞盒子作为新一代安全服务、从过去安全服务的几大痛点着手，力图解决“服务”、“透明”、“价格”的疑难杂症。漏洞盒子4.0将是国内第一个基于业务场景的安全测试，同时推出“人（白帽子）+机（网藤系统）结合”的测试模式，必将给安全测试领域带来新一轮的变革。最后，树哥向所有伟大的白帽子致以浓烈的敬意！

业务逻辑漏洞，它本身不是咱们说的网络层，系统层，代码层，它本身是跟人相关的，它称之为业务设计缺陷。接下来锅涛老师就给大家全方位讲解一下，在我们程序开发过程中，怎么去规避。除了学会如何规避，还将引发你去思考，思考这个漏洞它是怎么让黑客发现的，就是大家经常会说的一句话，如果你不知道漏洞是怎么来的，那你的防护永远是被动。 业务多样化发展 有“利益”的地方就有黑客 也许各位已经对以下漏洞”司空见惯“ 从黑客攻击角度分析未来攻击的主战场 黑客为什么要平衡攻击成本 为何“业务逻辑漏洞”成为黑客的主战场 黑无止境的根源 业务场景中分析业务逻辑”漏洞“ 衍生的“业务逻辑漏洞” 黑客比我们更了解我们的”业务逻辑“ 业务场景之密码重置 0x00(注册)任意用户注册 0x00(注册)遍历用户 0x00(登录)撞库 0x00(登录)手势密码解锁 0x00(登录)身份认证三部曲 0x00(找回密码)任意用户密码重置 0x00(找回密码)客户端验证码 0x01(交易)任意申贷信用额度 0x02(支付)支付密码绕过 0x03任意支付密码修改 应对法则

ISC 2021：中国人工智能安全创新峰会-信创数据库漏洞及安全的研究与思考

管理应用依赖安全

Struts终极漏洞利用工具及代码