KCon 2018黑客大会第二个演讲日精彩内容回顾

演讲中，来自360的安详研究员n1nty，从身份验证的观念，传统账号暗码认证方法几挑衅认证入手，解读了Kerberos Windows域情形下默认的身份验证协议，全面先容了Kerberos的三种子协议：TGT、TGS、AP，以及针对这三种子协议的进攻伎俩。

动态审计Python代码——聂心明

亚信安详软件工程师聂心明解读了操作Python说话的特征，以及hook Python中伤害的函数，把进入到伤害函数中的要害参数打印到日记中，操作fuzzing的要领，辅佐代码审计职员能快速发明Python措施中的裂痕，进步代码审计服从。

聂心明暗示，之以是会想到动态代码审计，是由于：在执行大型项目标时辰，代码布局伟大；有些伤害的成果潜匿较深，好比伤害的按时打算使命、sqlite数据库恣意建设导致恣意文件包围；另外也为进步服从。他指出，通过HOOK要害函数，可实现对伤害函数的挪用和传参的存眷；可团结Auditd，可实现不通过修改原始代码去获取文件读写操纵。

常用代码审计器材

From Grahpic Mode To God Mode: Vulnerabilities of GPU Virtualization——Rancho Han

以Hype-V和VMware为例，腾讯安详湛卢尝试室Rancho Han从多个维度说明GPU假造化实现进程中的安详题目，具体分解这些进攻面的掘客进程。他指出，GPU的浸染首要是表现、渲染、计较。GPU假造化包括：全假造化、半假造化、硬件帮助假造化三种方法，详细如下图所示：

Hacking You Without Password——泳少@YongSha

摩拜单车安详工程师泳少@YongSha首要报告了在当今Oauth2.0大部门厂商会遗留的题目，导致受害者惦念进攻者毗连看似正常的登录进程却在从中蒙受进攻者窃取token，从而导致进攻者能无需暗码的环境登录受害者账号，从而举办一系列操纵。

智能合约开拓中的安详SDLC实践——Pavlo Radchuk

来自乌克兰的Pavlo Radchuk叙述了安详的软件生命周期实践在智能合约方面的合用性，分享了从安详的软件生命周期衍生的一些是智能合约越发安详并能风险最小化的要领。

从OPCODE看以太，坊智能合约安详——Hcamael

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!