沒想到,前幾天小吳隨意發(fā)表的一點(diǎn)感慨,居然在微博火了。
不用關(guān)注他,關(guān)注我就行了哈,我叫「三坨土」嘻嘻
把圖放大看看,有同感的扣 1。
說來傷感,能跟這三張圖產(chǎn)生共鳴的人,年齡估計跟我差不多,正在邁入中年。好像每天上網(wǎng)的時間越長,整個人就越壓抑越不開心。
可轉(zhuǎn)念一想,我們也是經(jīng)歷過好時候的啊。從回憶盒子里翻一翻,就想起了這么多舊事:
1. 初一我爸找人組裝了一套臺式機(jī),放在客廳,遭了四五千塊,還搞了個撥號上網(wǎng)。電腦連上網(wǎng)后,家里座機(jī)就占線打不通了。
2. 暑假在家不想寫作業(yè),我把好朋友喊到家里來上網(wǎng)沖浪,打開新浪首頁,很拽地炫耀:全世界的新聞隨便看!點(diǎn)這里還能聽歌!搜一下還能看周杰倫的照片!繪聲繪色講得起勁,殊不知我爸打電話一直打不進(jìn)來,查崗被抓了個現(xiàn)行。
3. 后來我學(xué)聰明了,連網(wǎng) 10 分鐘就斷開 5 分鐘。一個月后我媽去交話費(fèi),收到一張?zhí)煳臄?shù)字賬單,我不光挨了頓收拾,還被送到農(nóng)村過剩下的暑假,斷網(wǎng)療傷。
這個界面眼熟嗎?
4. 那個時候網(wǎng)速很慢,加載圖片是一行一行地顯示出來。網(wǎng)速最快的地方叫網(wǎng)吧,遍地開花,座無虛席。我爸說,你要是敢去網(wǎng)吧我打斷你的腿。
5. 我當(dāng)然還是跟同學(xué)去過幾次的。網(wǎng)吧里大部分是男生,一邊聽歌、一邊聊 QQ、一邊看電影,一邊打游戲、一邊抽煙,一邊抖腿,多任務(wù)進(jìn)程,而我主要是聽歌、聊 QQ。我同學(xué)更寶,她去網(wǎng)吧是為了更新網(wǎng)名和個性簽名。有一次我看她寫道「偶不是 PLMM,偶是恐龍」,想幫她投稿到迷惑行為大賞。
當(dāng)年最流行的輸入法,至今沒學(xué)會五筆
6. 網(wǎng)吧最厲害的地方在于,硬盤里存了很多高清電影和臺灣綜藝,我最愛看《超級星期天》《我猜我猜我猜猜猜》,吳宗憲和小燕姐是我心中全宇宙最幽默的人。但去了兩次我就不愛去了,一是不喜歡煙味,二是覺得鼠標(biāo)鍵盤臟兮兮的。
7. 那個時候 QQ 一號難求,誰有六位數(shù)靚號誰就是老大。聽說班里有個男同學(xué)喜歡我,我跑去質(zhì)問人家,你能送我一個 QQ 號嗎?——就是我現(xiàn)在用的這個。
8. 貼吧和 BBS 太好耍了,發(fā)帖、排樓、精品區(qū),我覺得網(wǎng)上的人個個有才華!啥都會,寫段子、PS、改編創(chuàng)意,而且一個比一個幽默。我曾經(jīng)在周杰倫吧灌水,結(jié)果寫好后一刷新就找不到了,瞬間被新增的 30 頁淹沒。
9. 初中喜歡一個明星,經(jīng)常去她的粉絲論壇遛彎,還在上面發(fā)表過一些矯揉造作不知道在說什么的抒情散文。結(jié)果帖子一下子被頂?shù)秸搲懊妫绺缃憬闶迨灏⒁碳娂娍滟潯竿圻@真的是初中生寫的嗎」,我激動得面紅耳赤,整個人都飄了,飄到現(xiàn)在。
10. 后來論壇改版要關(guān)掉,我把自己寫的散文小心地存在磁盤里,多年后打開磁盤,發(fā)現(xiàn)遭病毒了,哦豁,我的文學(xué)著作灰飛煙滅。
老式存儲磁盤
11. 上初三后我有點(diǎn)跟不上潮流,因為那會兒流行裝扮 QQ 空間。全班都跟在黃鉆會員屁股后頭跑,排隊求人家?guī)兔Ω憧臻g裝飾。像我等卑微之人,只好去每個同學(xué)空間留言:我來給你踩踩!記得回踩哦!
12. 當(dāng)年 QQ 空間最火的一篇文章叫《明星 QQ 號大全》,我真的試圖加了下何炅的 QQ,想問他我可不可以參加《快樂大本營》。
13. 學(xué)校里誰跟誰耍朋友(談戀愛)了看 QQ 秀就知道。其實我最不喜歡的就是 QQ 秀,覺得上面的搭配好土哦。
14. 摩爾莊園、洛克王國、航海投資、偷菜、搶停車位、QQ 寵物都是全民參與的游戲,暑假我姐上了個半夜三點(diǎn)的鬧鐘,說要起來收菜。
我唯一玩過的游戲是泡泡堂。
15. 最絕的是我媽,玩系統(tǒng)自帶的紙牌游戲,可以玩到凌晨一點(diǎn)。
16. 上高中后我有了手機(jī),第一次能用手機(jī)登錄 QQ,我驚呆了!
不寫了,再寫下去,估計能寫成一本書。
反正后來科技突飛猛進(jìn),大部分朋友都經(jīng)歷過了。我們這屆應(yīng)該是最后一批跟同學(xué)互加過 Facebook 的幸運(yùn)兒。
我發(fā)現(xiàn)小時候跟現(xiàn)在上網(wǎng)沖浪最大的區(qū)別是,以前上網(wǎng)的時間極其有限,而且需要提前安排,所以顯得無比珍貴,每個人都是認(rèn)真在對待這件事。
就像 @和本我一起逃離 所說:
「家里沒電腦,每個禮拜就周末到我爸辦公室玩?zhèn)z小時。如果他出差,下個禮拜必須補(bǔ)給我。都要在周五制定好周密計劃:一小段時間用來加同學(xué) QQ 和去空間留言互踩,一小段下歌進(jìn) MP3,一小段查最近沒看但是很關(guān)心的電視劇梗概,一小段看偶像的美圖。如果網(wǎng)速慢了還要申請加時,全程連廁所都不舍得上。」
每天 1 小時的時間都保證不了,哪怕只是收個菜,去貼吧簽個到,跟陌生頭像扯兩句天,獲得的都是純粹的快樂。現(xiàn)在每個人永遠(yuǎn)在線,隨時隨地可以上網(wǎng),反而索然無味。
以前上網(wǎng)是為了尋找快樂,現(xiàn)在上網(wǎng)只是單純輸入一些信息。以前過暑假要是被家長允許通宵上網(wǎng),簡直要高興地翻到天上去。現(xiàn)在呢……我能不開電腦就不開電腦。
貼吧、酷狗、土豆、4399、可樂吧,chinamp3,閃客帝國,happysky、你是 GG 還是 MM……這些詞匯,隨著互聯(lián)網(wǎng)的迅猛生長而逐漸消亡。
網(wǎng)友總結(jié)的金句總結(jié)得好:
「以前上網(wǎng)叫沖浪,現(xiàn)在上網(wǎng)叫潛水」
「以前是上網(wǎng)快樂一下,逃避現(xiàn)實生活,現(xiàn)在上網(wǎng)多了要趕緊關(guān)掉到真實生活里喘口氣…」
20 年前,網(wǎng)絡(luò)只是用來打發(fā)閑暇時間。現(xiàn)在的大家,是生活在網(wǎng)上的。互聯(lián)網(wǎng)的發(fā)展,經(jīng)濟(jì)的繁榮,一定會讓生活變得更快捷。但是,這一切并不代表人的內(nèi)心,會感受到更多幸福。
只要一打開手機(jī)和電腦,馬上就會被數(shù)十件事吸引注意力,看完新聞,刷朋友圈,刷完朋友圈刷微博。貌似吸收了很多資訊,可回憶起來,腦子里什么都沒有留下。這并不是生活的真實面貌,只是互聯(lián)網(wǎng)想讓你看到的面貌。繽紛的信息流榨干了你的時間,卻讓你忘記你真正需要的東西是什么。
家庭網(wǎng)絡(luò)剛剛普及的時候,上網(wǎng)的人數(shù)少,大家就算觀點(diǎn)不一致,尚且在試圖溝通討論。現(xiàn)在上網(wǎng)小心翼翼,不敢輕易發(fā)表任何觀點(diǎn),因為隨時可能被陌生人攻擊。
尼葛洛龐帝二十多年前曾經(jīng)預(yù)言,互聯(lián)網(wǎng)的普及能讓世界更加和平,沖突減少,現(xiàn)在是啥樣子大家心里都有數(shù)。
所以,今年開始,我有意識的在控制自己的上網(wǎng)時間。尤其是最近一個月,關(guān)注了我微博的朋友可能知道,我已經(jīng)連續(xù) 31 天每天8點(diǎn)前早起打卡了。一個月下來,晚上到點(diǎn)就困,早上能自然醒,多出很多時間運(yùn)動、做事。每天最開心最充實的時候,不是熬夜刷劇,不是聯(lián)機(jī)游戲,而是每天早上我成功早起,吃上了自己做的早飯,去健身房游了泳,再去附近的超市買菜。
規(guī)律的作息,還有線下生活里平淡的小事,讓我重新找回了對生活的掌控感。
從逃避現(xiàn)實生活,到回到現(xiàn)實生活,生活的幸福感始終還是來源于生活本身。科技再發(fā)達(dá),這個道理都是不會改變的。
今天的結(jié)尾,就貼一段樸樹的歌 New Boy 吧。那時的專輯,叫《我去2000年》,未來剛剛展開,一切都充滿可能。
是的我看見到處是陽光快樂在城市上空飄揚(yáng)新世界來得象夢一樣讓我暖洋洋你的老懷表還在轉(zhuǎn)嗎你的舊皮鞋還能穿嗎這兒有一支未來牌香煙你不想嘗嘗嗎明天一早我猜陽光會好我要把自己打掃把破舊的全部賣掉哦這樣多好快來把奔騰電腦就讓它們代替我來思考穿新衣吧剪新發(fā)型呀輕松一下WINDOWS98打扮漂亮18歲是天堂我們的生活甜得象糖
雖然 31 天的早起打卡結(jié)束了,但我每天打卡的時候,也有堅持錄一小段打卡視頻!
爭取吧,這周末把 31 天打卡全紀(jì)錄的視頻 vlog 發(fā)出來,到時候也會寫一些我早睡早起的經(jīng)驗和心得,希望能幫助到大家。
記得鎖定我的頻道噢。
時間倒退至17年前,一場洋洋灑灑的大雪中看雪論壇成立了,素未謀面的各路人馬憑借對安全技術(shù)的熱愛在這里彼此交流分享。
而17年后,這群一夢為馬的人們在帝都初次聚首,舉辦第一次峰會。以下為看雪開發(fā)者峰會中十二個安全議題,雷鋒網(wǎng)現(xiàn)場整理。
Flash 之殤 - 漏洞之王 Flash Player 的末路
演講嘉賓:仙果 看雪論壇二進(jìn)制漏洞版主,興華永恒公司CSO。
Flash Player 作為最受歡迎的多媒體軟件,一直以來都受到大眾的軟件,遙想當(dāng)年的閃客精靈時代,何其風(fēng)光。而隨著 2011年11月 Flash Player 宣布不再支持移動端,并在隨后放棄 Linus 平臺,以及蘋果宣布 iOS 不再支持 Flash Player 成為雙重打擊。
在得移動者得天下的時代,F(xiàn)lash Player顯得尤為落寞。
而在 2015 年 Flash Player 榮登"漏洞之王"的寶座后,F(xiàn)lash 成了"千夫所指"的對象。畢竟 Flash Player 作為插件存在于多個平臺,因此一個漏洞的爆出就會影響諸多平臺。
本議題就以Flash player為題,通過 Flash Player 漏洞利用史展現(xiàn)了 Flash 漏洞利用技術(shù)和攻防對抗技巧。
舉例來說,2015 年 7 月,adboe 針對 vector 對象引入了 cookie 和 length 檢測機(jī)制,使得 vector 的利用方式被封堵。
2015 年 12 月加入了隔離堆機(jī)制,對一些比較容易出問題的對象進(jìn)行堆隔離,又引入了 ByteArray 對象的長度 cookie 檢測。
2016 年 3 月 引入了針對 MMGC(unmanaged memory)內(nèi)存的 System Heap 機(jī)制,使用系統(tǒng)的分配函數(shù)替代了 flash GC的分配函數(shù),使內(nèi)存更加隨機(jī),難以預(yù)測。
2016 年 6 月 引入 Memory Protector 機(jī)制,有點(diǎn)像延遲釋放機(jī)制,是用來緩解 UAF 漏洞的,理論上和微軟出的機(jī)制差不多,但是 adobe 自己做了一些改變。
淺析WEB安全編程
演講嘉賓:湯青松 中國婚博會PHP高級工程師、安全顧問。
常見漏洞有哪些?
代碼注入、CSRF、0元支付、短信轟炸、密碼找回……
湯青松通過對 SQL 注入、XSS 跨站與 CSRF 請求偽造漏洞、越權(quán)漏洞以及支付漏洞這幾個開發(fā)中容易忽略又比較常見的安全問題進(jìn)行介紹,用以指導(dǎo)在開發(fā)中如何避免安全問題的產(chǎn)生。
SQL注入的成因可以理解為使用用戶的參數(shù)拼接SQL語句,參數(shù)改變了原SQL語句的結(jié)構(gòu)。其可分為三種攻擊方式,
第一是利用注入漏洞改變頁面返回數(shù)據(jù),稱之為回顯注入。
第二是報錯注入,在URL加入了一些錯誤的SQL語句,被執(zhí)行后返回了異常信息,這些異常信息當(dāng)中包含了敏感信息,可以通過屏蔽數(shù)據(jù)庫連接錯誤來防范此問題。
第三是盲注,分為布爾盲注和時間盲注。
那有什么手段可以防范SQL注入呢?這里有三點(diǎn)建議。
攔截帶有SQL語法的參數(shù)的傳入
通過預(yù)編譯處理拼接參數(shù)的SQL語句
定期分析數(shù)據(jù)庫執(zhí)行日志,是否有異常SQL執(zhí)行。
XSS 跨站與 CSRF 請求偽造漏洞的成因可能是參數(shù)輸入未經(jīng)過安全過濾,惡意腳本被輸出到網(wǎng)頁,或是用戶的瀏覽器執(zhí)行惡意腳本。其可分為反射型、存儲型、DOOM 型三類,可通過過濾標(biāo)簽、實體轉(zhuǎn)義代碼以及設(shè)置 httponly 進(jìn)行防范。
越權(quán)漏洞是指業(yè)務(wù)系統(tǒng)中對用戶權(quán)限驗證不嚴(yán)謹(jǐn),用戶能操作不屬于自己權(quán)限的操作。湯青松建議前臺和后臺的查詢盡量不要用同一個查詢接口,也不要暴露連續(xù)ID,比如訂單號。
還記得 2014 年,一個天才小學(xué)生寫代碼實現(xiàn) 1 分錢買 2500 元商品的事情嗎?
事實上由于開發(fā)者在數(shù)據(jù)包中傳遞支付金額,后端卻沒有對金額做校驗或者簽名,導(dǎo)致攻擊者可以隨意篡改金額提交的事情比比皆是。湯青松建議商家限制超量購買限量商品,限制低價、免費(fèi)購買付費(fèi)商品、限制免費(fèi)商品獲得金錢、積分等。
業(yè)務(wù)安全發(fā)展趨勢及對安全研發(fā)的挑戰(zhàn)議題概要
演講嘉賓:彭巍 威脅獵人產(chǎn)品總監(jiān)。
業(yè)務(wù)安全包括賬號安全、內(nèi)容安全、營銷活動安全等,在此之下又各有分支。
如果說業(yè)務(wù)安全在 2012 年之前還只是以阿里、騰訊及攜程等為主的局部戰(zhàn)場,近些年隨著垂直電商、社交、移動游戲和 O2O 等領(lǐng)域的快速發(fā)展,業(yè)務(wù)安全及反欺詐被更多的視線關(guān)注。
但多數(shù)廠商并沒有像阿里和騰訊一樣與黑產(chǎn)相愛相殺一起成長,面對黑產(chǎn)的攻擊會一時無措。作為防守方,除了對抗技術(shù)外,更要增強(qiáng)對黑產(chǎn)的認(rèn)知,了解當(dāng)前在一些業(yè)務(wù)核心問題上的對抗階段和思路。
諸如被視為黑產(chǎn)技術(shù)飛躍式的發(fā)展——秒撥,實際上也是通過三步實現(xiàn),
匿名代理
批量獲取個人ADSL撥號IP
虛擬化ADSL實現(xiàn)海量的IP資源獲取
彭巍通過多個黑產(chǎn)案例證明多數(shù)甲方在業(yè)務(wù)安全及反欺詐上很被動的主要原因是缺乏對黑產(chǎn)的認(rèn)知,并幫助甲方研發(fā)梳理業(yè)務(wù)安全對抗思路并對當(dāng)前主要的一些風(fēng)險場景具體說明。
Windows 10新子系統(tǒng)*新挑戰(zhàn)
演講嘉賓:陸麟,中國最老的十大黑客之一,Windows系統(tǒng)內(nèi)核專家。
陸麟分享了他在 Windows 的 Linux 中研發(fā)出來的一些成果,即可以直接在 Windows 下直接執(zhí)行的 Linux,以及一個windows 10的0day漏洞。
智能化的安全: 設(shè)備&應(yīng)用&ICS
演講嘉賓:王東 啟明星辰ADLab西南團(tuán)隊負(fù)責(zé)人。
物聯(lián)網(wǎng)熱潮和泛在信息化推動了智能設(shè)備和智能應(yīng)用的迅猛發(fā)展,同時野蠻式生長也帶來了大量的安全漏洞,一旦被利用就會爆發(fā)出遠(yuǎn)超傳統(tǒng)信息化邏輯邊界的物理性傷害。
比如智能冰箱,溫度被惡意操控,食物隱形變壞,傷人;智能汽車,高速熄火,傷人;智慧醫(yī)療,精準(zhǔn)診斷信息被利用,特別是敏感疾病的治療信息被他人獲得后果更加嚴(yán)重;工業(yè)控制,鍋爐溫控異常炸鍋,傷人。
以智能門鎖為例,雷鋒網(wǎng)曾報道過酒店幽靈五年盜竊全美,竟師從黑客?文中偷變?nèi)赖姆缸锓肿泳褪抢弥悄荛T鎖的漏洞輕易打開了各個酒店房間。
王東在議題中首先對 WIFI 和 BLE 兩種組網(wǎng)類型的智能門鎖進(jìn)行安全漏洞分析,相比 WIFI,自帶光環(huán)的 BLE 可實現(xiàn)點(diǎn)對點(diǎn)通信,不需要中間設(shè)備,且可以跳屏傳輸,信道加密,致使抓包麻煩。
那聽說現(xiàn)在很多智能門鎖都采用“APP+設(shè)備+云端”構(gòu)架?
云端缺陷就更好利用了,只要登錄APP,選擇一鍵開門,并編寫代碼調(diào)用GATT接口即可發(fā)送開門密碼……
而在最后,王東也分享了工業(yè)控制系統(tǒng)方面的安全問題,比如弱口令及數(shù)據(jù)泄露司空見慣……對于廠商來說,頭疼的不止是軟件漏洞、協(xié)議漏洞、操作系統(tǒng)漏洞交織在一起,更因為一旦要修補(bǔ)這些漏洞就需要中斷業(yè)務(wù)。畢竟,這是一件需要多方協(xié)調(diào)的事情。
移動APP灰色產(chǎn)業(yè)案例分析與防范
演講嘉賓:無名俠 陳愉鑫 移動安全愛好者、看雪會員。
移動互聯(lián)網(wǎng)時代,互聯(lián)網(wǎng)業(yè)務(wù)飛速發(fā)展,在這樣的大背景下滋潤了一條以刷單、倒賣、刷榜、引流、推廣為主的灰色產(chǎn)業(yè)鏈。他們以低成本換取了高額的利潤,給互聯(lián)網(wǎng)企業(yè)以及用戶都帶來了巨大的損失。加固技術(shù)、風(fēng)險控制、設(shè)備指紋、驗證碼等技術(shù)也都在飛速發(fā)展,但實際效果并不能讓人滿意。
陳愉鑫在此議題中揭露了多個真實案例的技術(shù)細(xì)節(jié),開發(fā)流程,運(yùn)營流程,并提出一些防護(hù)建議,協(xié)議安全需要從體系上進(jìn)行加強(qiáng)。
開啟IoT設(shè)備的上帝模式
演講嘉賓:楊經(jīng)宇(Jingle)就職于騰訊反病毒實驗室,從事惡意代碼研究工作。
在議題開始時,楊經(jīng)宇先講了 IoT 金字塔。
最為底端的是大眾眼中的 IoT 即萬物互聯(lián),在此之上是軟件開發(fā)人員眼中的 IoT 是一個帶有聯(lián)網(wǎng)功能的嵌入式設(shè)備,更上一層安全研究人眼中 IoT 是一個金礦,只要挖就永遠(yuǎn)有料(漏洞),處于金字塔頂?shù)氖莣hy,為什么要 root IoT設(shè)備?
可能是為了突破設(shè)備限制,增加功能,也可能是為了做進(jìn)一步的安全研究,甚至利用 root 設(shè)備薅羊毛,挖礦……當(dāng)然這屬于黑產(chǎn)所為。
不可否認(rèn),如今 IoT 設(shè)備大量涌入智能家居領(lǐng)域,IoT 安全和大眾的生活息息相關(guān),智能電飯煲、插座、攝像頭、電視、掃地機(jī)器人......如果智能家居被如電影中的智能汽車一樣被遠(yuǎn)程遙控,后果不堪設(shè)想。
在議題中,楊經(jīng)宇關(guān)注 IoT 設(shè)備開啟上帝模式(即 root 模式)的相關(guān)安全問題,在提到 root IoT設(shè)備的常見技術(shù)手段比如弱密碼和 RCE 漏洞外,楊經(jīng)宇以一個中興攝像頭固件校驗漏洞為例,介紹偽造固件繞過固件校驗算法進(jìn)行 root 設(shè)備的方法。
另外,楊經(jīng)宇也分享來獲得 root 權(quán)限后引發(fā)的潛在安全威脅,并提供緩解安全威脅的一些方法,例如固件加密與簽名,防火墻等。此外,還分享了兩個已提交 CNNVD 的 IoT 設(shè)備 root 漏洞。
那些年出現(xiàn)的意料之外的漏洞
演講嘉賓:鄧永凱 綠盟科技 Web 安全研究員。
鄧永凱針對開發(fā)者在開發(fā)編碼時最容易產(chǎn)生漏洞以及意料之外的漏洞進(jìn)行分析,闡述其原因以及應(yīng)該注意的地方。通過沒有防御到防御繞過、錯誤的防御姿勢、錯誤的使用方法、錯誤的修復(fù)方法、系統(tǒng)及語言自身特性、設(shè)計缺陷、二次漏洞、程序員的惰性導(dǎo)致的漏洞等方面進(jìn)行了實例講解。
游戲外掛對抗的安全實踐
演講嘉賓:胡和君 騰訊游戲安全高級工程師。
在議題中胡和君以 FPS 類型游戲的自瞄外掛功能的對抗為例,通過對自瞄外掛實現(xiàn)原理的解析,說明了如何使用定制化的技術(shù)思想,達(dá)到對外掛作弊功能的持續(xù)壓制。另外議題中還談及游戲漏洞挖掘的核心思路和方法技巧,游戲開發(fā)者自身提升游戲安全性的技術(shù)手段,安全防守方定制化方案分析、開發(fā)、實現(xiàn)的方法和技巧等內(nèi)容。
java json 反序列化之殤
廖新喜 綠盟科技網(wǎng)絡(luò)安全攻防實驗室安全研究員。
隨著 REST API 的流行,JSON 的使用也越來越多,但其中存在的安全問題卻不容忽視,特別是由于反序列化導(dǎo)致的遠(yuǎn)程代碼執(zhí)行更是威力十足。
在這次演講中,廖新喜主要闡述 Java Json 庫的反序列化特性導(dǎo)致的RCE。
另外,還將以 Fastjson 舉例說明,公布部分未公開的反序列化的payload、0day,并會對這些payload分類解讀。
另外,議題涉及 Gson,Jackson 和 Fastjson 這三個最常用的 JSON 序列化庫的序列化和反序列的操作,并分析其安全機(jī)制,從安全機(jī)制上發(fā)現(xiàn)其潛在的安全漏洞。
反序列化漏洞出來已有一段時間,前期的一些防御方案隨著時間的推移不再有效,但是卻廣泛傳播,廖新喜也在議題中從開發(fā)、運(yùn)維的角度來,給出建議,指出哪些防范方案不再有效,為什么是無效的,并進(jìn)一步提出正確、可靠的防御方案,以防御此類安全問題。讓更多的開發(fā)者對Java反序列化漏洞有更加透徹的理解,做好安全編碼,做好安全防護(hù),減少被黑客騷擾的機(jī)會。
一石多鳥——擊潰全線移動平臺瀏覽器
Roysue 看雪iOS版塊版主。
瀏覽器早已成為我們?nèi)粘I钪胁豢苫蛉钡囊徊糠郑@種攻擊可以造成大范圍的用戶信息泄露,不僅局限于網(wǎng)站上手機(jī)上填寫的姓名電話、信用卡銀行卡等用戶基礎(chǔ)信息,更包括了我們?nèi)粘I钪蓄l繁使用的淘寶購物,“掃一掃”、“公眾號”、“小程序”、共享單車H5、餓了么H5等等貼近生活的一線App,所有App均不同程度的使用了某種Webview的實現(xiàn)。一旦被意圖不軌者掌握并利用,后果非常嚴(yán)重。
針對應(yīng)用層的攻擊頻次連年增長,攻擊方式更加多元,而越來越多企業(yè)的業(yè)務(wù)又依靠互聯(lián)網(wǎng)來實現(xiàn),防止應(yīng)用層安全失守成為企業(yè)不可回避的問題,做好應(yīng)用層安全也成為廠商和企業(yè)不可或缺乃至不可推卸的責(zé)任。roysue 在議題中針對應(yīng)用層的攻擊頻次連年增長,攻擊方式更加多元的現(xiàn)象,提出了相應(yīng)的策略。
如何黑掉無人機(jī)
謝君 阿里安全I(xiàn)oT安全研究團(tuán)隊Leader。
本議題是基于某品牌創(chuàng)新無人機(jī)DJI Phantom 4 Pro和DJI Mavic Pro機(jī)型上進(jìn)行的研究,系統(tǒng)的介紹某品牌無人機(jī)的架構(gòu)體系,功能模塊,傳感器等,包括各個組件的攻擊面,安全防護(hù)體系,軟硬件反調(diào)技術(shù)及其繞過方法,并深度解讀無線寬帶通信等。現(xiàn)場會介紹一個不需要通過軟件漏洞就能Root無人機(jī)的方法,以及如何遠(yuǎn)程劫持一臺無人機(jī)。
無人機(jī)是一個復(fù)雜的系統(tǒng)工程,包括飛控系統(tǒng)、避障測距定位系統(tǒng)、圖像采集、無線通信等。
謝君在議題中介紹了某品牌無人機(jī)的架構(gòu)體系、功能模塊、傳感器等,包括各個組件的攻擊面、安全防護(hù)體系、軟硬件反調(diào)技術(shù)及其繞過方法,并深度解讀無線寬帶通信等。
而為什么要 Root 無人機(jī)?實際上是為了更方便研究無人機(jī)及其他模塊。
那怎樣 Root?
雷鋒網(wǎng)了解到,通常需要通過軟件漏洞,執(zhí)行adb_en.sh腳本來進(jìn)行,而謝君在現(xiàn)場還介紹一個不需要通過軟件漏洞就能Root無人機(jī)的方法,即修改start_dji_system.sh腳本“Debug=true”也可以達(dá)到root目的。另外,謝君還演示了如何遠(yuǎn)程劫持一臺無人機(jī)。
寫在最后:
結(jié)束從不意味著落幕,而是嶄新的起點(diǎn)。
而這群熱愛安全技術(shù)的人們也將繼續(xù)砥礪前進(jìn)。