|
|
黑帽:9個免費(fèi)的防御和攻擊的安全工具.灰鴿子遠(yuǎn)程控制軟件,遠(yuǎn)程控制軟件
![]()
一些黑帽的研究人員將展示他們?nèi)绾纹平夂歪尫潘麄冊?jīng)做的工具
當(dāng)黑帽會議下周在拉斯維加斯��,這將是一個豐富的環(huán)境,對收集的工具��,可以用來加強(qiáng)安全性��,而且在錯誤的手中進(jìn)行攻擊��。
一般來說��,研究人員提出的價(jià)值��,這些版本持有的研究人員喜歡自己誰在實(shí)驗(yàn)環(huán)境中��,以及為企業(yè)安全的專業(yè)人士誰想建立更好的防御攻擊這樣的攻擊工具��。
主持人將詳細(xì)廣泛的他們已經(jīng)實(shí)現(xiàn)了對設(shè)備的漏洞��,從HTTP協(xié)議和技術(shù)的東西��,齒輪的技術(shù)滲透測試人員測試其客戶的網(wǎng)絡(luò)互聯(lián)��。
這里是一個采樣的一些計(jì)劃的教育簡報(bào)下周即將出現(xiàn)的免費(fèi)工具��,將伴隨他們的描述��。
HTTP/2和快速教學(xué)的好協(xié)議做壞事
主持人:Carl Vincent��,高級安全顧問��,思科��,和凱瑟琳(凱特)皮爾斯��,高級安全顧問��,思科
這兩個研究者在HTTP / 2和快看��,網(wǎng)絡(luò)協(xié)議采用多重連接��。研究人員說��,他們正在經(jīng)歷的DéJà似曾相識因?yàn)樗麄儼l(fā)現(xiàn)這些協(xié)議中的安全漏洞��,他們發(fā)現(xiàn)兩年前在多徑TCP(MPTCP)的弱點(diǎn)��,讓人想起��。然后他們發(fā)現(xiàn)由于MPTCP改變路徑和終點(diǎn)會議期間��,很難保證交通和可能的妥協(xié)����!斑@個講座簡要介紹了技術(shù)和HTTP / 2,涵蓋復(fù)用攻擊超越MPTCP��,討論如何在QUIC在HTTP / 2使用這些技術(shù)��,并討論了如何理解和抵御H2 /快速交通網(wǎng)絡(luò)上��,“根據(jù)他們談話的描述��。他們說��,他們將釋放這些技術(shù)的工具��。
應(yīng)用機(jī)器數(shù)據(jù)一和其他有趣的話題學(xué)習(xí)
Brian Wallace��,高級安全研究員��,Cylance��,Matt Wolff��,首席數(shù)據(jù)科學(xué)家��,Cylance��,和宣朝��,數(shù)據(jù)科學(xué)家��,Cylance
這個團(tuán)隊(duì)?wèi)?yīng)用機(jī)器學(xué)習(xí)的安全數(shù)據(jù)��,以幫助分析人員作出決定��,他們的網(wǎng)絡(luò)是否面臨實(shí)際事件��。他們說��,缺乏了解機(jī)器學(xué)習(xí)可以讓你在分析問題時(shí)處于劣勢����!拔覀儗⒉叫姓麄管道從理念到運(yùn)作工具上的幾個不同的安全相關(guān)的問題��,包括攻擊和防御的使用情況下��,機(jī)器學(xué)習(xí)��,”他們寫在描述他們的簡報(bào)��。他們計(jì)劃釋放他們在研究中使用的所有工具��,源代碼和數(shù)據(jù)集��。他們還將包括數(shù)據(jù)泄露的模糊處理工具、網(wǎng)絡(luò)映射和命令和控制面板的識別模塊��。
gattacking藍(lán)牙智能設(shè)備引入新的代理工具
Slawomir Jasek��,安全顧問��,安全
東西的互聯(lián)網(wǎng)是充斥著使用藍(lán)牙低能量的設(shè)備��,但他們并不總是利用技術(shù)的所有安全功能����!
設(shè)備數(shù)量驚人不(或不能-因?yàn)槭褂脠鼍埃├眠@些機(jī)制��,”研究員Slawomir Jasek在他的書面描述他說話��。相反��,安全是由更高級別的通用屬性設(shè)置(GATT)剖面保護(hù)物聯(lián)網(wǎng)設(shè)備與控制器之間的通信��,如移動電話��。他說“物聯(lián)網(wǎng)設(shè)備和誘騙手機(jī)連接到它很容易��,在中間設(shè)置一個男人(MITM)攻擊����!癧 J ]只是想象有多少攻擊你可以執(zhí)行的可能性積極攔截BLE通信��!“他寫道��。他將“打開一個全新的章你的物聯(lián)網(wǎng)設(shè)備開發(fā)釋放能的MITM代理工具��,扭轉(zhuǎn)和調(diào)試����!
安全滲透測試操作:在demonstrated weaknesses學(xué)習(xí)材料和工具
mcgrew總監(jiān)衛(wèi)斯理大學(xué)的網(wǎng)絡(luò)��,網(wǎng)絡(luò)運(yùn)營��,霍恩
播音員說��,這是testers滲透或訓(xùn)練嗎��?widely可用的材料��,使用兩個inadequate引腳可以保護(hù)他們的客戶數(shù)據(jù)和筆測試程序本身��。“惡意威脅激勵兩個演員是攻擊和滲透testers妥協(xié)��,和給定電流的要求��,可以做很容易和SO與戲劇的影響��,”他說��。mcgrew將demonstrate技術(shù)testers劫持的程序和釋放所有的工具和辨別的演示��。
美國能源部的USB驅(qū)動滴在停車場和其他很多地方工作��,真的嗎��?
Elie bursztein反欺詐和濫用研究鉛��,谷歌
大家都知道��,如果你放棄USB鑰匙在一個停車場��,他們將拿起��,和一個高percentage過去將風(fēng)plugged到電腦上��。bursztein說��,他的研究包括300 USB棒滴在一個停車場��。98%的人和那些拿起��,48%的人不只是plugged到電腦上的文件��,但他們是opened��。他的談話將分析為什么這些人拾起棒��,他會釋放的工具幫助mitigate這些攻擊��。
在兩人把炸彈:審計(jì)的武器緩存壓縮算法
卡拉瑪麗的高級安全顧問集團(tuán)公司
decompression炸彈攻擊��,使用specially制作壓縮檔案��,檔案,當(dāng)他們是沉默的unpacked應(yīng)用兩個IP,這樣����,在他們的碰撞。但不是所有的壓縮算法是equally suitable的任務(wù)����,旣愑幸粋偉大的audited號碼找到這兩個炸彈����,這是最好的候選人和將釋放他們的會議����。他們能被用來研究的兩個城市大學(xué)應(yīng)用試驗(yàn)的敏感性和特殊攻擊����。
Pwning你vulnerabilities反序列化的Java消息。
凱瑟大學(xué)的馬提亞����,頭白碼易損性研究
在Java環(huán)境中常見的消息在序列化的對象轉(zhuǎn)換成系列的字節(jié)。反序列化的冰淇淋車大賽后臺為目標(biāo)����。已經(jīng)有一個持續(xù)改進(jìn)的反序列化的Java漏洞,使它的兩個可能的攻擊����,使用Java應(yīng)用程序的消息。Kaiser將談?wù)摰膶?shí)現(xiàn)等����,是vulnerable釋放消息和Java開發(fā)工具幫助用戶識別和exploit這些系統(tǒng)。
訪問鍵會殺了你之前����,你殺了這密碼
因委托安全工程師西蒙集團(tuán)公司
《播音員,因西門����,辨別這兩個實(shí)例:使用訪問鍵的亞馬遜網(wǎng)絡(luò)服務(wù)的基礎(chǔ)設(shè)施往往是unencrypted倉庫和擴(kuò)展。在開發(fā)人員的安全����,創(chuàng)造一個弱點(diǎn)。我可以是addressed本市使用的多因素身份驗(yàn)證����,用戶可以避免一些,這是因?yàn)楦嗟腸umbersome比他們想的����。西蒙將展示如何可以employed MFA regardless冰了什么認(rèn)證方法和使用,將釋”的工具使用ALLOW無痛保護(hù)工作當(dāng)MFA API訪問的冰在一個enforced AWS客戶����。”
病毒性視頻����,在視頻converters利用上海光源
andreev準(zhǔn)則����,sowtware開發(fā)者M(jìn)ail.ru集團(tuán)和尼古拉ermishkin信息的安全分析師����,Mail.ru集團(tuán)
圖書館自由的boast FFmpeg多媒體格式轉(zhuǎn)換工具,包括conversions playlists為特征的兩個其他文件的鏈接����。這樣的談話會考慮如何exploit request forgery在服務(wù)器端處理這些playlists。信息技術(shù)對SSRF節(jié)目這樣的云型全接入服務(wù)器可以提供兩種服務(wù)����,如亞馬遜網(wǎng)絡(luò)服務(wù),為抵抗攻擊的電報(bào)����,在Facebook,微軟azure����,F(xiàn)lickr,Twitter的服務(wù)����,有和其他����。演講會的《釋的工具和檢測這兩個exploit易損性����。 |
|
加載中...
發(fā)表于 2016-8-1 00:28:50
收藏