Geekly articles weekly

ZeroNights 2018结果

今年,ZeroNights在圣彼得堡A2俱乐部举行,聚集了来自世界各地的1000多名参与者,其中包括:信息安全服务的负责人和员工,程序员,研究人员,分析师,渗透测试人员,新闻工作者以及对信息安全的应用方面感兴趣的所有人。



在会议上,来自9个国家的60位发言人发表了报告:法国,西班牙,德国,中国,马来西亚,马耳他,哈萨克斯坦,俄罗斯和亚美尼亚。 来自各个公司:空客,Facebook,Synacktiv,卡巴斯基实验室,腾讯安全宣武实验室,Shape Security,Wrike,X41 D-Sec GmbH等。



会议的主要议题:


  • 黑客如何通过Wi-Fi芯片接管移动设备
  • 传真如何成为企业网络中的敌人
  • Windows的哪些USB设备驱动程序包含大量漏洞
  • Git Web服务器如何扩展攻击者的功能
  • 如何使用硬件妥协
    网络设备和基础设施
  • 攻击者如何使用UPnP协议隐藏其在网络上的活动
  • 俄罗斯流程管理系统产品的安全性和关闭漏洞的流程是什么?
  • 在客户开发中鲁ck使用新技术的后果是什么
  • 与编译器一样,存在可用于在软件中嵌入后门的错误
  • 如何将系统感染到BIOS级别?
  • Ntlm Relay攻击仍然很危险,可以以新方式使用
  • 如何快速有效地评估网络设备配置文件的安全性
  • SD-WAN技术存在哪些安全问题?
  • 开发系统如何被所有者攻击和使用
  • 如何使用GPU虚拟化工具来攻击系统
  • 在广泛的ImageMagick产品和库,Redis,SCADA系统和node.js项目中可以发现哪些漏洞和问题。

在ZeroNights的框架内,还开展了各种活动:黑客探索,Web村区和硬件区。


网络村


很高兴看到Web Village一次又一次地吸引了大批观众。



让我们注意到经验丰富的Weber在实践领域拥有丰富经验的传统报告流。 这次,您将看到以下演讲者:Mail.Ru,Yandex,卡巴斯基实验室,数字安全,Sploitus,Acunetix,Detact和Rambler。 我们还认为这是一个很大的优势-完全没有公共关系公司,没有各种决策和关于市场的讨论。 但是,当然,2018年ZeroNights的主要成就是高水平地编写了完整的示例报告:


  1. 您了解有关XSS的一切吗? 我敢打赌,您仍然可以从此报告中学到新知识吗? - 阅读
  2. 还在用手插入Blind-xss向量吗? 那我们去找你! - 阅读
  3. 再次,XSS不能正常工作吗? 显然有CSP,现在已绕过- 阅读
  4. 当您可以自动搜索漏洞时,为什么要手动执行相同的操作? - 阅读
  5. 想入侵浏览器,但不知道从哪里开始? - 阅读
  6. 彭特研究典型的开发人员基础结构- 阅读
  7. 非典型漏洞或如何通过几个完全合法的功能制作MEGABAGU- 阅读
  8. PHP可能导致和将导致漏洞的功能和问题的概述- 阅读
  9. 什么是(de)序列化,如何在PHP中实现以及它有多么危险- 阅读
  10. 如果满足SPEL的要求-Spring框架的表达语言- 阅读
  11. 修补漏洞并不容易,因此不会再出现三个漏洞。 像专业人士一样修复- 阅读


我们明年有什么计划?


  • 我们肯定会计划更多的椅子和沙发:)
  • 安排更多活动。 Mail.ru和Yandex进行的安全测验证明它既有趣又酷。
  • 希望在WV曲目中演出的人数正在增加,而且很高兴。 看来您必须组织一个单独的CFP。
  • 我们将不仅保留演讲的传统,还保留作弊的传统。

五金专区



参加会议的客人可以在硬件区参加为期两天的活动。 该阶段的完整报告涵盖了ATM的实用安全性,物联网,用于分析硬件协议的工具和方法等主题。



参与者可以使用NFC卡破解自动售货系统和游戏币,然后可以在酒吧付款。 为了成功完成任务,参与者使用了在Pavel Zhovner的几次研讨会上获得的有用信息,以及在展位上展示的所有必需的硬件工具。 任何人都可以在实践中运用他们的知识,并测试他们在分析无线协议和对IoT世界的典型代表进行攻击方面的实力,从而(因此)收到毫无价值的难忘礼物(proxmark3,chameleon mini,BBC Microbit)。



参与者的活动对嵌入式设备的安全性和硬件黑客这一话题表现出了永无止境的兴趣,因此我们将继续继承硬件专区的传统,并增加教育报告和竞赛的数量。


比赛


我们合作伙伴的活动也在现场进行。


Mail.ru举行了一次打破航空邮件的比赛,获胜者赢得了100美元,并获得了Bug Hunter运动衫。



在Crush SEMrush竞赛中,SEMrush抽离了MacBook Air,Sony PlayStation 4 Pro和DJI Spark四轴飞行器。 参与者应该在禁用WAF的服务中发现漏洞。



您可以在Skyeng合作伙伴地区最大的在线学校获得英语课程的证书。



DefHack黑客任务中的参与者尝试了“白人”黑客在反乌托邦虚拟世界中的角色。 在竞赛“老虎机”中-一个单手匪徒,其游戏是建立在区块链的基础上的,累积奖金达到100个单位。 加密货币,第一个被黑客入侵的系统收到了ZeroNights 2019的门票。


也是在会议开幕式上,以音乐项目“双重人格”为主题举行了聚会,林肯公园混音比赛的获胜者以及电子音乐节阿尔法未来人的参与者。



我们感谢每个会议参与者以及今年支持ZeroNights的合作伙伴:Yandex,Mail.ru,Sberbank,Epam,SEMrush和Digital Security。




对于那些读到最后的人-竞赛! 对于关于ZeroNights 2018的最全面的反馈,我们将展示我们的时尚商品:第一名是背包,第二和第三名是运动衫。 请发送有关您在会议上真正喜欢或不喜欢的内容的详细故事的反馈,地址为visitor@zeronights.org。 标记为“ Merch反馈”。 我们是为了诚实!


并在ZeroNights 2019见!

Source: https://habr.com/ru/post/zh-CN433420/

More articles:


All Articles