[场记]乌云第一届沙龙圆满结束(PPT全部上传完毕)

疯狗 | 2014-10-22 18:45

在这个灰蒙蒙的周末,乌云君在WooYun Club举办了一场技术与心灵的洗礼————第一届乌云线下技术沙龙(持续性),还与联合网易花田举办的白帽子相亲活动。

  乌云线下技术沙龙为每月举行一期,分享与讨论当月流行或正爆发的漏洞攻防技术,或安全事件解析。讨论领域不设范围:国内的国外的火星的、有线的无线的毛线的、移动的不动的移不动的、能说的不能说的不好说的、男男的女女的还有小动物的。。。总之,对白帽子与互联网爱好者来说,乌云沙龙是一个自由分享与学习的小角落,而且说不定还能有意外收获!(第一期有四位小伙伴获取了WooYun官方DIY的WIFI安全测试路由器,他们的女盆友和邻居要遭殃了)

  上周末乌云沙龙第一期正式开动,本期重点分享与讨论了移动端安全、WIFI安全与Shellshock漏洞影响的干货:

1. 空中的威胁

分享者:lxj616@WooYun

摘要:以前乌云君以为打造一款FakeAP是很简单的事儿,不就是起个CMCC,然后AP上抓包分析么?听了lxj616的分享才发现,原来WIFI攻击还有这么多奇技淫巧与有趣的故事,更重要的是演讲者还将自己的想法实现,开发了一款WooYun WiFI固件,并且成功刷到了路由器中,一款WIFI安全神器就此诞生!Talk is cheap ,give me the rom …

温习功课:http://drops.wooyun.org/tips/3248

PPT下载:http://pan.baidu.com/s/1qW2VjhM

2. 手机支付木马现状及典型样本分析

分享者:贾志军@百度

摘要:乌云君一直想把Android上的网银木马发展史展现给大家,曾经以及现在是什么样的,利用哪些让我们震惊的猥琐技术。其实对于手机木马的分析,一些移动安全领域的企业有着很深的功力与样本支持,只是都不怎么喜欢分享。但来自百度贾志军给乌云沙龙无私的带来了一期完美的分享,从多个案例介绍了Android上吸费、银行/微信支付、隐私窃取、短信劫持与实际攻击场景等从头到尾进行了大搜罗与解决方案详细的讲解。

PPT下载:http://pan.baidu.com/s/1i3uvVKh

3. 安卓app漏洞挖掘浅析及案例

分享者:horseking@梆梆安全

摘要:移动终端与PC浏览器并称为当今互联网的两扇门,从互联网统计数据分析,移动入口或有大超PC浏览器之势头,谁叫现在的手机配置这么强大与智能呢。来自梆梆安全的horseking给我们带来了好几种挖掘移动端安全漏洞的姿势,十八式非常熟练,功底深厚~最后又介绍了一种诡异的软件商店,能让咱家APP悄悄的消失,也能让其他家的APP悄悄出现,Android平台真是乱啊~

PPT下载:http://pan.baidu.com/s/1c0lcGFY

4. Linux平台上一种web漏洞灰盒测试方法

分享者:s0mun5@WooYun

摘要:这个议题由白帽子对Perl的Bash命令执行漏洞的分析所引起,因为在追踪的过程一直未能复现漏洞,所以采取了一个有趣的技术手段进行监控调试,最终发现了“元字符”对漏洞的关键影响,并且摸清了Perl命令执行的条条道道。在分析过后突然觉得该技术可以用于企业发现未知攻击行为有很大的帮助,怎么样,有兴趣包装成Q4的KPI么?

温习功课:http://zone.wooyun.org/content/15910

PPT下载:http://pan.baidu.com/s/1i3xJGRN

  如果说乌云线下技术沙龙是上半场的话,那乌云联合网易花田相亲大会就是充满高潮的下半场了,他们最大的区别是:上午男男交友,下午男女交友。

  花田-乌云特约相亲活动一开始大家将技术男羞涩展现得淋漓尽致,后来乌云众测负责人301和花田妹子们的带领下渐渐活跃了起来(看来301除了带领大家在众测发家致富还有带着大家找老婆的作用呀),最后的环节5人表白,2人成功牵手妹子,牵手成功的别忘了请大家吃喜糖啊。

分享者靓照:

sha1.jpg

sha2.jpg

sha4.jpg

sha6.jpg

认证听讲与讨论的伙伴们:

sha5.jpg

sha7.jpg

sha8.jpg

sha9.jpg

sha10.jpg

花田相亲大会(我这照片不多):

huatian1.jpg

huatian2.jpg

huatian3.jpg