2022 SDC 精彩議題搶先看
《從後門到漏洞——智慧裝置私有協議中的安全問題》
目前物聯網智慧裝置的漏洞挖掘大部分集中在HTTP、UPNP等常見公有協議,私有協議是廠商自行設計並實現的,協議格式未知,漏洞挖掘難度較大,因此往往被大家所忽視。
本次演講將以一個用於多個廠商的私有協議為例,講解其中一系列漏洞的發現思路和細節,這組漏洞可能影響多個廠商數億的網路裝置,在這個過程中,我們將會著重探討非常規的漏洞挖掘思路。
最初我們在某廠商的一個網路裝置上發現了一個設計非常精妙的私有協議,該協議“似乎”是該廠商預留的一個管理“後門”。進一步探索,我們發現一個“突破點”,然後鎖定了另一家更知名的網路裝置提供商。
我們將研究範圍擴大到了另一家網路裝置提供商的裝置,“令人失望”的是,該廠商的裝置對管理使用者的身份進行了認證,不存在前面發現的“後門”漏洞。在進一步的漏洞挖掘中,我們發現了影響該廠商所有網路裝置的三種不同認證繞過漏洞,這組漏洞具備相同的觸發點,但存在完全不同的利用方式。
演講嘉賓簡介
魏 凡
綠盟科技格物實驗室-安全研究員
來自綠盟科技格物實驗室,專注於嵌入式裝置的漏洞挖掘,曾參加過天府杯和GeekPwn,發現過200+漏洞。
歡迎蒞臨2022 SDC 峰會現場
聆聽議題完整內容
2.5折門票火熱搶購中
2022 SDC 會議日程
轉發本文,參與抽獎
開獎時間:10月14日(週五)14:00
*公開轉發,不可設定分組哦
安全開發者峰會(SDC)
看雪安全開發者峰會(Security Development Conference,簡稱SDC)是由擁有22年悠久歷史的資訊保安技術綜合網站——看雪主辦,會議面向開發者、安全人員及高階技術從業人員,是國內開發者與安全人才的年度盛事。
自2017年7月份開始舉辦的第一屆峰會以來,SDC始終秉持“技術與乾貨”的原則,致力於建立一個多領域、多維度的高階安全交流平臺,推動網際網路安全行業的快速成長。
大會將邀請業內頂尖安全專家蒞臨現場,議題覆蓋IoT安全、移動安全、惡意軟體、AI安全、工控安全、軟體保護等多個領域,緊抓當下前沿技術,為大家帶來一場頂尖的技術交流盛宴!
*掃碼報名參會
﹀
﹀
﹀