亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Black Hat?ASIA 2021（2021年亞洲黑帽大會(huì)）于5月4日至7日正式舉行。其中，6日至7日，共有40個(gè)議題分享最新的信息安全風(fēng)險(xiǎn)、研究和趨勢(shì)。

武器庫(kù)方向

此次公布的武器庫(kù)主要圍繞14個(gè)方向，涵蓋：

Android, iOS and Mobile Hacking（安卓、iOS和移動(dòng)黑客攻擊）

Code Assessment（代碼評(píng)估）

Data Forensics and Incident Response（數(shù)據(jù)取證和事件響應(yīng)）

Exploitation and Ethical Hacking（道德黑客-剝削）

Hardware/Embedded（硬件/嵌入式）

Human Factors（人為因素）

Internet of Things（物聯(lián)網(wǎng)）

Malware Defense（惡意軟件防御）

Network Attacks（網(wǎng)絡(luò)攻擊）

Network Defense（網(wǎng)絡(luò)防御）

OSINT – Open Source Intelligence（OSINT-開(kāi)源情報(bào)）

Reverse Engineering（逆向工程）

Vulnerability Assessment（漏洞評(píng)估）

Web AppSec

武器庫(kù)一覽

基于AOP的運(yùn)行時(shí)安全分析工具包

Aosanalyzer，一個(gè)用于Android應(yīng)用程序的開(kāi)源運(yùn)行時(shí)安全性分析工具包。該工具主要用于查找通過(guò)靜態(tài)APK分析難以發(fā)現(xiàn)的應(yīng)用程序安全漏洞和隱私泄漏。

Aosanalyzer使用安全技術(shù)中的面向方面的編程將代碼插入應(yīng)用程序的關(guān)鍵路徑中，以記錄運(yùn)行時(shí)信息（例如堆棧跟蹤、參數(shù)、UI事件等），然后生成包含安全問(wèn)題要點(diǎn)的報(bào)告。

SniperPhish：網(wǎng)絡(luò)釣魚工具包

魚叉式網(wǎng)絡(luò)釣魚活動(dòng)通常用于測(cè)試公司/組織中員工的安全意識(shí)。測(cè)試主要涉及網(wǎng)絡(luò)釣魚電子郵件和網(wǎng)站的組合，不僅要從設(shè)計(jì)網(wǎng)絡(luò)釣魚網(wǎng)站到以無(wú)法檢測(cè)的方式在目標(biāo)上執(zhí)行有效負(fù)載，還需要一個(gè)平臺(tái)將電子郵件發(fā)送給目標(biāo)用戶并跟蹤活動(dòng)進(jìn)度。這個(gè)過(guò)程需要使用郵件服務(wù)器（發(fā)送電子郵件）和Web服務(wù)器（托管網(wǎng)絡(luò)釣魚網(wǎng)站），也就是跟蹤電子郵件的發(fā)送狀態(tài)和網(wǎng)絡(luò)釣魚網(wǎng)站中提交的數(shù)據(jù)。

通常，這兩個(gè)域的數(shù)據(jù)收集相對(duì)容易，但是要合并這些數(shù)據(jù)并解決問(wèn)題（例如郵件中的哪個(gè)受害者通過(guò)網(wǎng)站提交了數(shù)據(jù)）則更具挑戰(zhàn)性和耗費(fèi)時(shí)間。SniperPhish是用PHP開(kāi)發(fā)的高級(jí)Web電子郵件魚叉式網(wǎng)絡(luò)釣魚工具包，支持跟蹤包含n個(gè)頁(yè)面的網(wǎng)站中的數(shù)據(jù)，且報(bào)告生成模塊中的高級(jí)自定義功能可幫助自定義列字段并導(dǎo)出多個(gè)輸出。

CDK：零依賴容器滲透工具包

CDK是一個(gè)開(kāi)放源代碼的容器滲透工具包，可在云本地docker / k8s / lessserver部署中提供穩(wěn)定的利用。它帶有許多功能強(qiáng)大的工具和漏洞利用程序，而且無(wú)需任何操作系統(tǒng)依賴性，就可以做到輕松逃避容器并接管K8s集群。

Cotopaxi：物聯(lián)網(wǎng)協(xié)議安全測(cè)試工具包

Cotopaxi是使用特定網(wǎng)絡(luò)IoT / IIoT / M2M協(xié)議（AMQP、CoAP、DTLS、gRPC、HTTP / 2、HTCPCP、KNX、mDNS、MQTT、MQTT、MQTT-SN、QUIC、RTSP、SSDP）進(jìn)行物聯(lián)網(wǎng)設(shè)備安全測(cè)試的工具。不同于nmap或OpenVAS，能夠支持所有新的物聯(lián)網(wǎng)協(xié)議（如CoAP，DTLS。HTCPCP、QUIC）。項(xiàng)目鏈接：https://pypi.org/project/cotopaxi/

GitDorker：在你的GitHub中Dorking你所有的秘密

GitDorker是一個(gè)利用GitHubSearch API和從各種來(lái)源匯編的GitHub dork的廣泛列表的工具，提供給搜索查詢下GitHub上存儲(chǔ)的敏感信息概況。此外，GitDorker還可以和其他工具一起使用，如GitRob或Trufflehog。

對(duì)抗式威脅探測(cè)器

近年來(lái)，深度學(xué)習(xí)技術(shù)得到了發(fā)展，使用深度學(xué)習(xí)的各種系統(tǒng)正在我們的社會(huì)中普及，另一方面，也出現(xiàn)了越來(lái)越多利用深度學(xué)習(xí)算法漏洞的攻擊。“ Adversarial Threat Detector”（又名ATD）的漏洞掃描程序可以自動(dòng)檢測(cè)基于深度學(xué)習(xí)的分類器中的漏洞。通過(guò)執(zhí)行“檢測(cè)漏洞（掃描和檢測(cè)）”，“了解漏洞（理解）”，“修復(fù)漏洞（修復(fù)）”和“檢查已修復(fù)的漏洞（重新掃描）”四個(gè)周期，有助于分類器的安全。

CANalyse：車輛網(wǎng)絡(luò)分析和攻擊工具

CANalyse是一種軟件工具，用于分析日志文件并自動(dòng)查找唯一的數(shù)據(jù)集，且能夠連接到簡(jiǎn)單的攻擊者接口（如Telegram）。使用該工具時(shí)，可以提供bot-ID，通過(guò)電報(bào)在Internet上直接使用。CANalyse被安裝在樹(shù)莓派PI內(nèi)，可以通過(guò)Telegram機(jī)器人記錄和分析數(shù)據(jù)日志來(lái)利用車輛。

除了武器庫(kù)，此次豐富的議題同樣值得關(guān)注，比如：

消失的硬幣：在Stratum中秘密竊取哈希率

研究人員首次介紹Stratum加密貨幣挖礦通信協(xié)議中的新型中間人(MITM)攻擊方案。

Safari里的新攻擊界面：只用一個(gè)網(wǎng)絡(luò)音頻漏洞來(lái)控制Safari

研究人員通過(guò)演示，講解在由我國(guó)成都市政府主辦的天府杯國(guó)際網(wǎng)絡(luò)安全大賽中利用Safari網(wǎng)絡(luò)音頻漏洞進(jìn)行的攻擊。

一鍵式攻擊的新時(shí)代：如何破解Install-Less應(yīng)用

研究人員分享對(duì)Install-Less應(yīng)用結(jié)構(gòu)的主要觀察結(jié)果，并對(duì)在蘋果App Clips、Google PWA、Google Instant App和QuickApp 中發(fā)現(xiàn)的多個(gè)漏洞進(jìn)行深入分析。

如何解鎖智能門：跨供應(yīng)商物聯(lián)網(wǎng)訪問(wèn)控制中的安全隱患

物聯(lián)網(wǎng)（IoT）設(shè)備越來(lái)越多地通過(guò)云進(jìn)行管理，從而調(diào)節(jié)用戶對(duì)設(shè)備的訪問(wèn)。例如只有授權(quán)用戶才能打開(kāi)門。這些云一般由設(shè)備供應(yīng)商（Philips Hue，LIFX，Tuya等）或云提供商（Google Home，Amazon Alexa，IFTTT等）運(yùn)營(yíng)。

隨著主流物聯(lián)網(wǎng)供應(yīng)商倡導(dǎo)新興功能，即可跨不同的云和用戶委派設(shè)備訪問(wèn)權(quán)限：例如，Philips Hue、August Lock等可允許Google Home控制其云中介導(dǎo)的設(shè)備，因此用戶可以通過(guò)Google Home上的單個(gè)控制臺(tái)來(lái)管理來(lái)自不同供應(yīng)商的多個(gè)設(shè)備。具體來(lái)說(shuō)，跨物聯(lián)網(wǎng)云的訪問(wèn)委派是分布式的，異構(gòu)的且未經(jīng)驗(yàn)證的：每個(gè)供應(yīng)商使用臨時(shí)的隱式安全假設(shè)來(lái)自定義其委派協(xié)議。此外，研究人員還發(fā)現(xiàn)，復(fù)雜的委派服務(wù)通常跨云耦合，其中一個(gè)云很可能無(wú)意間違反了另一個(gè)云的安全操作和假設(shè)。通過(guò)對(duì)10種主流的物聯(lián)網(wǎng)云（Google Home，SmartThings，IFTTT，Philips Hue，LIFX，August等）的調(diào)研，發(fā)現(xiàn)了5個(gè)嚴(yán)重的漏洞，危及數(shù)百萬(wàn)用戶和數(shù)百個(gè)供應(yīng)商。利用這些漏洞，惡意攻擊者可以獲得未經(jīng)授權(quán)的物聯(lián)網(wǎng)設(shè)備（例如智能鎖、開(kāi)關(guān)、安全傳感器）的訪問(wèn)權(quán)限。

以上僅節(jié)選了部分武器庫(kù)和議題，如需了解更多，可點(diǎn)擊鏈接。