除了黑客工具的发布和发人深省的主题演讲外,上周在Black Hat Europe举行的简报中还为网络安全专业人士提供了大量内容。漏洞研究人员在专注于他们成功发现漏洞的谈话中经常忽略那些粗糙的部分,但来自Trellix的一对黑客就如何从过程中的失误和失败中吸取教训进行了一次演讲。
研究人员Douglas McKee和Philippe Laulheret告诉Black Hat代表,明显的失败可以提供有益的教训,并且 - 加上不小的勇气和毅力 - 最终会导致重大发现。
该会议——“更努力地失败:不顾我们自己寻找关键的 0-day”——“深入研究了所有不起作用的事情,以及在跨多个关键零日漏洞发现之前的许多挑战”项目”。
除其他事项外,研究人员解释了“更加努力地失败”如何需要“在系统被黑客攻击之前花费大量时间研究系统”。
在另一场演讲中,Orange Cyberdefence的Ragnhild 'Bridget' Sageng探讨了在渗透测试中使用社会工程的伦理。
此类测试试图提高员工对网络钓鱼攻击的认识,但如果没有经过深思熟虑,它们可能会适得其反——尤其是当员工感到受骗或因失败而受到指责时。Sageng认为,玩指责游戏与培养富有成效的学习体验背道而驰。
毕竟,此类测试的结果表明,即使是安全专业人员也可能成为网络钓鱼诱饵的受害者,因此需要更加关注(通常被忽视的)参与后流程。
回到寻找技术漏洞的领域,来自Claroty的Team82的研究员Noam Moshe解释了他们如何发现一系列Web应用程序防火墙(WAF)可能对SQL注入有效载荷视而不见。
该问题源于SQL注入检查过程中未能支持JSON语法,影响了五家领先供应商的技术:Palo Alto Networks、Amazon Web Services、Cloudflare、F5和Imperva。正如上周更深入地解释的那样,在Claroty强调了这个问题之后,所有五个人都解决了这个问题。
近年来,反序列化缺陷为传统应用程序带来了源源不断的问题。黑客技术也证明了基于Android的移动系统存在问题。
在Black Hat Europe的演讲中,来自Google的工程师团队概述了Android Parcels的发展,该技术旨在管理跨进程交互并抑制反序列化产生的错误。
几年来,主动防御一直被讨论为一种阻止民族国家策划的网络攻击的方法。这种方法在实践中如何运作的细节一直处于保密状态,但来自捷克共和国国库的两位威胁情报专家的谈话表明,威胁情报和主动防御的结合是如何被用来阻止一系列的攻击归咎于俄罗斯。
分析师解释说,只有不断改进他们的威胁模型并微调他们的方法,他们才能做出改进,使关键信息基础设施更具弹性。
Web安全研究人员和漏洞猎手获得了关于如何通过滥用DataBinding来破解基于Web的框架的见解。
DataBinding用于将请求参数绑定到域对象。
该方法受到各种编程框架的支持,包括Java、JavaScript、Groovy、Python和Ruby。
然而,数据绑定中的实现缺陷已经在包括Spring、Struts、Grails和Ruby on Rails在内的平台中产生了许多缺陷。
来自Ant Security FG Lab的Haowen Mu和Biao He在Black Hat的演讲中解释了DataBinding机制本身的不安全性如何催生臭名昭著的Spring4Shell以及其他缺陷。
评论已关闭。