1.一个无法访问不了的页面 2.一个难以进展的渗透任务 3.从小程序入手的渗透测试

• WAF 简介 • WAF 分类 • WAF 识别 • WAF 绕过方式 • Bypass 利用

当前web应用漏洞变得越来越复杂。对于这些流行网站和应用所用到的底层编程语言和框架的理解程度，对是否能够发现高危漏洞起到重要作用。本议题中，将会深入探讨PHP 7.4的一些最新feature，以及如何利用这些feature去突破一些配置上的限制，结合xml相关漏洞，来实现远程信息泄露和远程代码执行。

基础知识 新手指南：DVWA-1.9 全级别教程（完结篇，附实例）之 XSS XSS的原理分析与解剖 XSS 的原理分析与解剖（第二篇 XSS 的原理分析与解剖：第三章（技巧篇） XSS 的原理分析与解剖：第四章（编码与绕过） XSS通关小游戏以及我的挑战思路分享 WEB 安全系列之如何挖掘 XSS 漏洞 XSS绕过之前端绕过 实战进阶 某学习直播平台的 xss 绕过 总结了下自己的 XS

互联网+时代，面对众多业务应用、微服务以及小程序的接口的形态，有哪些Geek点，本议题为业务接口安全方向进一步攻防探索实践。 目录 接口安全必要性 最近流行的案例 接口定义及分类 各技术形态案例 自动定位接口工具 关于XML和JSON聚合归纳

传统的基于攻击特征的安全防护，存在着特征库难于管理、较高的误报率和漏报率等诸多问题，安全防护效果难以进一步提高，而近年来出现的基于语法规则的检测虽然在一定程度上弥补了特征的不足，但是因为不理解业务，对于有着更高智能的攻击也显得捉襟见肘。演讲将从百度在安全领域的实践出发，与大家一起探讨通过人工智能、机器学习领域的经典方法形成的分析系统效果，和他们如何与传统防护系统相互补充的经验。 从ModSecurity开始说起 SQL Tokenizer Parser Analyzer 机器学习初探 支持向量机-XSS检测应用 支持向量机-不足 隐马尔可夫 从浅层学习走向深度神经网络 见证奇迹的时刻 威力不止如此 用户行为分析-电商案例 用户行为分析-难点 总结

本议题将从那些经典案例入手，分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞，带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御

目录 1 web 安全新手入门指南 2 安全靶场实例分析

XSS相关漏洞一直是无法忽略的问题，即使再好的开发工程师也避免不了写出”不安全”的代码，这次议题将深入浅出的介绍一下XSS漏洞形成与危害。

主要讲解在跨域获取资源中,程序开发者在开发过程中可能导致疏忽而引起的跨域安全问题导致的隐藏攻击面,主要介绍Flash,CORS等跨域获取资源中一些攻击方法和修复及防御 目录 主流跨域方式 跨域方式的安全性 FLASH跨域利用实战 未来之星-被忽视的CORS 跨域漏洞的防御