|
黑帽:9个免费的防御和攻击的安全工具.灰鸽子远程控制软件,远程控制软件
一些黑帽的研究人员将展示他们如何破解和释放他们曾经做的工具
当黑帽会议下周在拉斯维加斯,这将是一个丰富的环境,对收集的工具,可以用来加强安全性,而且在错误的手中进行攻击。
一般来说,研究人员提出的价值,这些版本持有的研究人员喜欢自己谁在实验环境中,以及为企业安全的专业人士谁想建立更好的防御攻击这样的攻击工具。
主持人将详细广泛的他们已经实现了对设备的漏洞,从HTTP协议和技术的东西,齿轮的技术渗透测试人员测试其客户的网络互联。
这里是一个采样的一些计划的教育简报下周即将出现的免费工具,将伴随他们的描述。
HTTP/2和快速教学的好协议做坏事
主持人:Carl Vincent,高级安全顾问,思科,和凯瑟琳(凯特)皮尔斯,高级安全顾问,思科
这两个研究者在HTTP / 2和快看,网络协议采用多重连接。研究人员说,他们正在经历的DéJà似曾相识因为他们发现这些协议中的安全漏洞,他们发现两年前在多径TCP(MPTCP)的弱点,让人想起。然后他们发现由于MPTCP改变路径和终点会议期间,很难保证交通和可能的妥协。“这个讲座简要介绍了技术和HTTP / 2,涵盖复用攻击超越MPTCP,讨论如何在QUIC在HTTP / 2使用这些技术,并讨论了如何理解和抵御H2 /快速交通网络上,“根据他们谈话的描述。他们说,他们将释放这些技术的工具。
应用机器数据一和其他有趣的话题学习
Brian Wallace,高级安全研究员,Cylance,Matt Wolff,首席数据科学家,Cylance,和宣朝,数据科学家,Cylance
这个团队应用机器学习的安全数据,以帮助分析人员作出决定,他们的网络是否面临实际事件。他们说,缺乏了解机器学习可以让你在分析问题时处于劣势。“我们将步行整个管道从理念到运作工具上的几个不同的安全相关的问题,包括攻击和防御的使用情况下,机器学习,”他们写在描述他们的简报。他们计划释放他们在研究中使用的所有工具,源代码和数据集。他们还将包括数据泄露的模糊处理工具、网络映射和命令和控制面板的识别模块。
gattacking蓝牙智能设备引入新的代理工具
Slawomir Jasek,安全顾问,安全
东西的互联网是充斥着使用蓝牙低能量的设备,但他们并不总是利用技术的所有安全功能。“
设备数量惊人不(或不能-因为使用场景)利用这些机制,”研究员Slawomir Jasek在他的书面描述他说话。相反,安全是由更高级别的通用属性设置(GATT)剖面保护物联网设备与控制器之间的通信,如移动电话。他说“物联网设备和诱骗手机连接到它很容易,在中间设置一个男人(MITM)攻击。“[ J ]只是想象有多少攻击你可以执行的可能性积极拦截BLE通信!“他写道。他将“打开一个全新的章你的物联网设备开发释放能的MITM代理工具,扭转和调试。”
安全渗透测试操作:在demonstrated weaknesses学习材料和工具
mcgrew总监卫斯理大学的网络,网络运营,霍恩
播音员说,这是testers渗透或训练吗?widely可用的材料,使用两个inadequate引脚可以保护他们的客户数据和笔测试程序本身。“恶意威胁激励两个演员是攻击和渗透testers妥协,和给定电流的要求,可以做很容易和SO与戏剧的影响,”他说。mcgrew将demonstrate技术testers劫持的程序和释放所有的工具和辨别的演示。
美国能源部的USB驱动滴在停车场和其他很多地方工作,真的吗?
Elie bursztein反欺诈和滥用研究铅,谷歌
大家都知道,如果你放弃USB钥匙在一个停车场,他们将拿起,和一个高percentage过去将风plugged到电脑上。bursztein说,他的研究包括300 USB棒滴在一个停车场。98%的人和那些拿起,48%的人不只是plugged到电脑上的文件,但他们是opened。他的谈话将分析为什么这些人拾起棒,他会释放的工具帮助mitigate这些攻击。
在两人把炸弹:审计的武器缓存压缩算法
卡拉玛丽的高级安全顾问集团公司
decompression炸弹攻击,使用specially制作压缩档案,档案,当他们是沉默的unpacked应用两个IP,这样,在他们的碰撞。但不是所有的压缩算法是equally suitable的任务。玛丽有一个伟大的audited号码找到这两个炸弹,这是最好的候选人和将释放他们的会议。他们能被用来研究的两个城市大学应用试验的敏感性和特殊攻击。
Pwning你vulnerabilities反序列化的Java消息。
凯瑟大学的马提亚,头白码易损性研究
在Java环境中常见的消息在序列化的对象转换成系列的字节。反序列化的冰淇淋车大赛后台为目标。已经有一个持续改进的反序列化的Java漏洞,使它的两个可能的攻击,使用Java应用程序的消息。Kaiser将谈论的实现等,是vulnerable释放消息和Java开发工具帮助用户识别和exploit这些系统。
访问键会杀了你之前,你杀了这密码
因委托安全工程师西蒙集团公司
《播音员,因西门,辨别这两个实例:使用访问键的亚马逊网络服务的基础设施往往是unencrypted仓库和扩展。在开发人员的安全,创造一个弱点。我可以是addressed本市使用的多因素身份验证,用户可以避免一些,这是因为更多的cumbersome比他们想的。西蒙将展示如何可以employed MFA regardless冰了什么认证方法和使用,将释”的工具使用ALLOW无痛保护工作当MFA API访问的冰在一个enforced AWS客户。”
病毒性视频,在视频converters利用上海光源
andreev准则,sowtware开发者Mail.ru集团和尼古拉ermishkin信息的安全分析师,Mail.ru集团
图书馆自由的boast FFmpeg多媒体格式转换工具,包括conversions playlists为特征的两个其他文件的链接。这样的谈话会考虑如何exploit request forgery在服务器端处理这些playlists。信息技术对SSRF节目这样的云型全接入服务器可以提供两种服务,如亚马逊网络服务,为抵抗攻击的电报,在Facebook,微软azure,Flickr,Twitter的服务,有和其他。演讲会的《释的工具和检测这两个exploit易损性。 |
|