沉淀知识,分享经验 Beta

XKungfoo2016

资料列表
Preview Name 作者 Date File info
  • 盗链是视频行业的绝症么?—Android APP视频防盗链的N种姿势

  • 随着移动互联网的高速发展,手机视频已经开始日渐成为互联网最大的入口,近两年频发的app端视频盗链现象已不仅仅是侵权、几个巨头互相撕逼的事件了。2015年,正版授权视频网站法务部自行陆续取证被盗链盗播的电影56部、电视剧11部、综艺节目2期、体育赛事、及直播节目等,给各类视频巨头带来直接的巨额经济损失,而现有的客户端安全技术在视频防盗链方面除了传统的安全加固、校验客户端的一些特殊文件,以及不定期的更换服务器配置策略外,无法更有效控制客户端APP的被逆向、反编译后直接盗用视频厂商有效视频源进行播放;而在传统的解决方案中无论是频繁更换服务器的控制策略,还是传统的安全加固,这些手段又可能会引起视频客户端的兼容性问题,盗链真的是视频行业的绝症么?针对Android APP,议题全面解析了如何针对视频客户端APP视频盗链的各类手段,从而提炼出进行完整的安全策略及保护方案,分享业内独家安全技术,在满足了视频安全性的需求的同时,减少了视频厂商的运营成本及各类风险。

    • 视频盗链 现象泛滥
    • NO.1基本姿势 Android APP 端防盗链
    • NO.2 进阶姿势 服务器端的控制策略
    • NO.3 无限扩张版 服务器端的更新策略
 马宏亮
  • 附件: 1 个
  • 大小: 3.92 M
  • 蛇噬汝果 - 基于Python的OSX内核漏洞模糊测试挖掘和利用

  • 伊甸园中人类始祖被蛇诱惑吃下禁果,从此分善恶,得智慧。而Python这条蟒蛇作为最流行的胶水语言,和苹果树上璀璨钻石OSX相遇,又会有怎样的故事?本演讲将介绍系统性模糊测试和挖掘OSX内核漏洞的方法,及如何利用Python提升模糊测试和漏洞挖掘分析效率,并最终分析我们发现的数个OSX内核中的0day。我们将介绍如何利用Python实现自动化提取驱动攻击面和生成测试脚本,并讨论如何结合约束求解器实现更高测试覆盖率,并分析该系统所发现的多个内核崩溃和对应的漏洞。最终,本议题还将分析一个OSX内核驱动中少为人知的攻击面,以及据此发现的数个内核0day漏洞。

    • Basic description of IOKit
    • Kernel Zone Allocator and Fengshui Technique
    • Introducing KitLib and distributed Fuzzer
    • Introducing Kexthelper, a IDA plugin for OSX KEXT
    • Case Studies
 Flanker(何淇丹)
  • 附件: 1 个
  • 大小: 0.72 M
  • 纵深防御和新威胁情报感知的利器——蜜罐

  • 对于安全防护来说,真正可怕的是自身的无知,知识的不对称导致的威胁发生在身边却不知晓,会让防护者陷入“我已经做的足够好”的Comfort Zone。如何了解这个世界真实地在发生什么?尽快地获取到高质量精准的情报,找准威胁发展的方向就成了不得不面对的问题。蜜罐作为一个投入产出比极高的情报源,在当今快速变化的对抗中被赋予了新的使命。 议题从对蜜罐自身定位重新思考开始,结合现代企业对于蜜罐的需求,通过海量互联网数据支撑和攻击预测模型,跳出原有蜜罐的局限,提出了立体化自适应的蜜罐方案。通过对我们获取到的实际案例进行解读,重新调整我们对于蜜罐系统的期望。展示了现代蜜罐系统如何帮助安全团队更好的理解网络攻击的“黑暗森林”,回答企业内以及互联网上”What’s happening”这一话题。让这一“古老”的技术,在现今的“威胁情报”先导的安全实践中“重焕新生”。

    目录

    • •互联网的黑暗森林
    • •Think Out Of The Box
    • •自适应的新型蜜罐
    • •部署与捕获
    • •展望与未来
 王宇(xi4oyu)
  • 附件: 1 个
  • 大小: 2.46 M
  • HEY,你的钱包掉了——创业公司支付安全浅析

  • 随着近两年的创业热,成千上万家创业公司如雨后春笋般涌现,其中牵扯到支付的更多之又多。2015年11月的“快操盘”事件一夜之间让该公司损失上千万,那么决定创业公司命脉的支付系统面对技术水平参差不齐的团队又是怎样一番景象?议题将对多个实际漏洞细致解析,对创业公司最容易出现安全漏洞的支付环节进行树立,并从创业公司角度提出一个基本的支付安全规范模型。

    • 常见支付路径对比
    • 支付场景和入口多样

    • 支付应用常见安全风险

    • 支付安全是如何影响一家企业的?

      • “快操盘”事件
      • 基础设施安全
      • 初型创业公司安全通病

    • 一个常见的支付流程能出多大的安全问题?

      • 常见支付流程图
      • 零号线支付系统源码泄漏
      • 某洗衣O2O APP充值漏洞
      • 某音乐网站支付漏洞
      • 常见安全风险点
        • 常见风险点 - total_fee
        • 常见风险点 - seller_account_name
        • 常见风险点 - notify_url
      • 使用MD5签名可能造成的风险
      • 风险规避
      • 低风险支付模型
 荣文佳(Mystery)
  • 附件: 1 个
  • 大小: 16.41 M
  • 攻防之间:账号安全立体防护新探索

  • 互联网数据泄漏事件每天都在上演,拖库撞库、数据泄漏等事件层出不穷,造成资金盗用、账户勒索等严重后果逐渐暴露,直接威胁大量互联网业务系统安全。账号安全是业务系统第一道防火墙,围绕账号安全的攻防之间诞生了验证码、双因素认证、生物识别等一系列技术。但面对黑产群体——高投入高度专业定制化对抗的神器利器层出不穷,导致账号安全防护体系整体形势不容乐观。通付盾通过多年技术积累,依托于自有的12亿+的海量网络设备指纹库,结合大数据分析引擎、机器自学习、虚假地址甄别等技术倾心打造了最切合客户业务的立体防御方案。通过对谛听(真假身份识别系统)技术实现细则介绍来给大家带来一场技术干货。全面介绍防撞库、防盗号等账号安全立体防护方面的新探索

    • 典型案例分析
    • 账号安全现状
    • 防护技术发展
    • 总结
风宁
  • 附件: 1 个
  • 大小: 4.41 M
© 2014-2020 信息安全知识库 友情连接 常见问题 RSS订阅 捐助我们 吉ICP备15005112号-2