来自 应用 2021-04-04 10:17 的文章

服务器防护盾_怎么防御_https防cc

服务器防护盾_怎么防御_https防cc

在拉斯维加斯呆了几天,黑帽子事件之后,Defcon25终于结束了!这是一个令人惊叹的时代与伟大的人在一起。我没有参加所有的会谈,但我看到的大多数演讲都很有趣:没有比127.0.0.1更好的地方了——在现代浏览器中实现可靠的DNS重新绑定,作者Luke Young。摘要幻灯片工具(Jaqen)本文介绍了几种绕过DNS重新绑定保护的方法,以及使用这些技术从内部网络访问数据的方法。还提出了一些缓解措施,自建高防cdn,其中之一是,不要只对外部资源使用强身份验证,而是对内部资源也强制使用强身份验证。他发布了Jaqen,一个用于使用不同方法可靠地执行DNS重新绑定攻击的工具。大脑的最后一站,加里·卡斯帕罗夫。摘要SSRF的新纪元-在趋势编程语言中开发URL解析器!,作者:桔子蔡。幻灯片摘要写本文介绍了URL解析器的怪异行为,以及如何在Github企业中使用利用SSRF的四个漏洞链获得RCE。下一代Tor洋葱服务,由arma提供。摘要幻灯片Tor开发者一直致力于开发新一代的洋葱服务,使其更强大,以抵抗审查,并提供一些有趣的功能,这一代人没有。这篇演讲还解释了{Dark,Deep}Web并不是一个真正的东西,而且大多数时候都被用作一个营销无稽之谈:使用Tor Onion服务的最大的网站实际上是……Facebook。我们如何创建第一个SHA-1冲突,以及它对哈希安全的意义,作者:eliebursztein摘要幻灯片演示这个演讲展示了Google和CWI令人印象深刻的研究和结果,这些研究和结果使他们在经过几年的工作和紧张的计算之后找到了一种获得SHA1碰撞的方法。还出现了一些意想不到的后果,网站怎么防御cc,如Webkit存储库损坏。此外,还解释了在Gmail和Github中用于检测这些冲突的反密码分析机制。《狂风:黑客入侵风电场控制网络的冒险》,作者:杰森·斯塔格斯。摘要幻灯片这篇演讲介绍了风力涡轮机控制网络的内部结构,以及如何在设计中完全不存在安全性:未经验证的API、平面网络、供应商虚假的安全声明…瑞安·巴森代尔(Ryan Baxendale)为进攻性安全提供的微服务和FAA摘要幻灯片这篇演讲提出了一个非常便宜(但有效)的方法,利用几个微服务提供商,利用DDoS和暴力攻击网站和OTP系统。Dimitry Snezhkov《滥用网络钩子进行指挥和控制》摘要幻灯片工具(八角钩)本文介绍了使用webhook和Github作为代理C&C在受限环境中过滤数据的有趣方法。Github问题和评论被用作沟通渠道。建议的缓解措施:仅限制对所需Github存储库的出站访问。通过滥用GDI对象揭开Windows内核利用的神秘面纱。摘要幻灯片这篇漂亮而技术性的演示文稿解释了使用GDI获取Ring0的过程,防御ddos流量攻击,并从第一个角度分析了安全问题MS16-098+MS17-017。微软刚刚给了蓝队战术核武器(以及红队需要如何适应),克里斯汤普森摘要幻灯片本次演讲介绍了与Windows Defender galaxy相关的新功能和发展…。以及如何避开最新Windows10版本中引入的新防御机制。在这些地方之外,国外免费ddos防御,参加座谈会的人非常激动人心。SE村,侦察村,密码和隐私村,投票机黑客村和包黑客村特别伟大!另外,cc防御方法,星期五晚上的EFF小组很高兴从EFF的董事和律师那里得到更新和讨论。可在研讨会上录制演示文稿media.defcon.org .这是一个不错的(但非常拥挤!)版本,期待明年!