|
|
黑帽:9個免費的防御和攻擊的安全工具.灰鴿子遠程控制軟件,遠程控制軟件
![]()
一些黑帽的研究人員將展示他們如何破解和釋放他們曾經做的工具
當黑帽會議下周在拉斯維加斯,這將是一個豐富的環(huán)境��,對收集的工具��,可以用來加強安全性����,而且在錯誤的手中進行攻擊。
一般來說����,研究人員提出的價值,這些版本持有的研究人員喜歡自己誰在實驗環(huán)境中��,以及為企業(yè)安全的專業(yè)人士誰想建立更好的防御攻擊這樣的攻擊工具����。
主持人將詳細廣泛的他們已經實現(xiàn)了對設備的漏洞��,從HTTP協(xié)議和技術的東西�����,齒輪的技術滲透測試人員測試其客戶的網絡互聯(lián)�����。
這里是一個采樣的一些計劃的教育簡報下周即將出現(xiàn)的免費工具����,將伴隨他們的描述��。
HTTP/2和快速教學的好協(xié)議做壞事
主持人:Carl Vincent����,高級安全顧問,思科����,和凱瑟琳(凱特)皮爾斯,高級安全顧問�����,思科
這兩個研究者在HTTP / 2和快看,網絡協(xié)議采用多重連接��。研究人員說����,他們正在經歷的DéJà似曾相識因為他們發(fā)現(xiàn)這些協(xié)議中的安全漏洞,他們發(fā)現(xiàn)兩年前在多徑TCP(MPTCP)的弱點����,讓人想起����。然后他們發(fā)現(xiàn)由于MPTCP改變路徑和終點會議期間,很難保證交通和可能的妥協(xié)�������!斑@個講座簡要介紹了技術和HTTP / 2�����,涵蓋復用攻擊超越MPTCP��,討論如何在QUIC在HTTP / 2使用這些技術,并討論了如何理解和抵御H2 /快速交通網絡上�����,“根據(jù)他們談話的描述��。他們說�����,他們將釋放這些技術的工具�����。
應用機器數(shù)據(jù)一和其他有趣的話題學習
Brian Wallace����,高級安全研究員,Cylance��,Matt Wolff��,首席數(shù)據(jù)科學家��,Cylance�����,和宣朝,數(shù)據(jù)科學家��,Cylance
這個團隊應用機器學習的安全數(shù)據(jù)����,以幫助分析人員作出決定,他們的網絡是否面臨實際事件�����。他們說��,缺乏了解機器學習可以讓你在分析問題時處于劣勢����������!拔覀儗⒉叫姓麄管道從理念到運作工具上的幾個不同的安全相關的問題�����,包括攻擊和防御的使用情況下����,機器學習,”他們寫在描述他們的簡報����。他們計劃釋放他們在研究中使用的所有工具,源代碼和數(shù)據(jù)集��。他們還將包括數(shù)據(jù)泄露的模糊處理工具��、網絡映射和命令和控制面板的識別模塊����。
gattacking藍牙智能設備引入新的代理工具
Slawomir Jasek,安全顧問��,安全
東西的互聯(lián)網是充斥著使用藍牙低能量的設備����,但他們并不總是利用技術的所有安全功能��!
設備數(shù)量驚人不(或不能-因為使用場景)利用這些機制,”研究員Slawomir Jasek在他的書面描述他說話��。相反��,安全是由更高級別的通用屬性設置(GATT)剖面保護物聯(lián)網設備與控制器之間的通信�����,如移動電話����。他說“物聯(lián)網設備和誘騙手機連接到它很容易,在中間設置一個男人(MITM)攻擊����������!癧 J ]只是想象有多少攻擊你可以執(zhí)行的可能性積極攔截BLE通信����!“他寫道�����。他將“打開一個全新的章你的物聯(lián)網設備開發(fā)釋放能的MITM代理工具,扭轉和調試����!
安全滲透測試操作:在demonstrated weaknesses學習材料和工具
mcgrew總監(jiān)衛(wèi)斯理大學的網絡��,網絡運營��,霍恩
播音員說��,這是testers滲透或訓練嗎��?widely可用的材料�����,使用兩個inadequate引腳可以保護他們的客戶數(shù)據(jù)和筆測試程序本身�������!皭阂馔{激勵兩個演員是攻擊和滲透testers妥協(xié)��,和給定電流的要求,可以做很容易和SO與戲劇的影響����,”他說。mcgrew將demonstrate技術testers劫持的程序和釋放所有的工具和辨別的演示�����。
美國能源部的USB驅動滴在停車場和其他很多地方工作�����,真的嗎�����?
Elie bursztein反欺詐和濫用研究鉛�����,谷歌
大家都知道��,如果你放棄USB鑰匙在一個停車場��,他們將拿起�����,和一個高percentage過去將風plugged到電腦上����。bursztein說,他的研究包括300 USB棒滴在一個停車場��。98%的人和那些拿起����,48%的人不只是plugged到電腦上的文件,但他們是opened�����。他的談話將分析為什么這些人拾起棒�����,他會釋放的工具幫助mitigate這些攻擊����。
在兩人把炸彈:審計的武器緩存壓縮算法
卡拉瑪麗的高級安全顧問集團公司
decompression炸彈攻擊,使用specially制作壓縮檔案�����,檔案,當他們是沉默的unpacked應用兩個IP��,這樣�����,在他們的碰撞��。但不是所有的壓縮算法是equally suitable的任務�����,旣愑幸粋偉大的audited號碼找到這兩個炸彈�����,這是最好的候選人和將釋放他們的會議�����。他們能被用來研究的兩個城市大學應用試驗的敏感性和特殊攻擊��。
Pwning你vulnerabilities反序列化的Java消息��。
凱瑟大學的馬提亞�����,頭白碼易損性研究
在Java環(huán)境中常見的消息在序列化的對象轉換成系列的字節(jié)��。反序列化的冰淇淋車大賽后臺為目標��。已經有一個持續(xù)改進的反序列化的Java漏洞�����,使它的兩個可能的攻擊�����,使用Java應用程序的消息����。Kaiser將談論的實現(xiàn)等,是vulnerable釋放消息和Java開發(fā)工具幫助用戶識別和exploit這些系統(tǒng)��。
訪問鍵會殺了你之前��,你殺了這密碼
因委托安全工程師西蒙集團公司
《播音員�����,因西門,辨別這兩個實例:使用訪問鍵的亞馬遜網絡服務的基礎設施往往是unencrypted倉庫和擴展����。在開發(fā)人員的安全,創(chuàng)造一個弱點����。我可以是addressed本市使用的多因素身份驗證,用戶可以避免一些��,這是因為更多的cumbersome比他們想的��。西蒙將展示如何可以employed MFA regardless冰了什么認證方法和使用�����,將釋”的工具使用ALLOW無痛保護工作當MFA API訪問的冰在一個enforced AWS客戶����。”
病毒性視頻����,在視頻converters利用上海光源
andreev準則����,sowtware開發(fā)者Mail.ru集團和尼古拉ermishkin信息的安全分析師��,Mail.ru集團
圖書館自由的boast FFmpeg多媒體格式轉換工具����,包括conversions playlists為特征的兩個其他文件的鏈接�����。這樣的談話會考慮如何exploit request forgery在服務器端處理這些playlists����。信息技術對SSRF節(jié)目這樣的云型全接入服務器可以提供兩種服務,如亞馬遜網絡服務�����,為抵抗攻擊的電報����,在Facebook,微軟azure��,F(xiàn)lickr,Twitter的服務��,有和其他�����。演講會的《釋的工具和檢測這兩個exploit易損性�����。 |
|
加載中...
發(fā)表于 2016-8-1 00:28:50
收藏