阿里巴巴高级安全工程师,博士,毕业于清华大学计算机系。主要研究方???:系统安全和移动安全。作为第一作者曾在IEEE S&P、Usenix Security等学术界安全顶会中发表过高水平研究论文,也曾在Black Hat USA、HITB等工业界顶级黑客会议中发表过演讲。其贡献和成果受到过包括苹果、谷歌、Facebook、腾讯等多家公司的致谢。
盘古实验室高级安全研究员,关注移动安全研究。曾获得Pwn2Own 2017四项冠军,独立远程破解PS4及iPhone8。作为上海交通大学0ops团队创始人,曾带领团队获得CodeGate 2015冠军、DEFCON24 CTF亚军,仍保持中国CTF战队在世界大赛中最佳战绩。14年创办的0CTF,目前已成为中国最具有国际影响力的CTF赛事品牌之一。目前作为Order of
议题概要:当前最流行的黑客游戏,CTF(Capture The
Flag)起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。CTF比赛进入国内已经约有五年时间,越来越多的信息安全爱好者投入各项CTF赛事中。但没有接触过CTF的安全从业人员经常会质疑,CTF与现实中的安全问题脱节严重,是否能够起到培养、选拔安全人才的功效。虽然CTF由真实系统环境下的攻防演化而来,但往往为参赛者提供了简化的漏洞模型。本议题将会对比CTF中的漏洞与真实环境下的漏洞案例,揭示CTF与现实安全研究之间的密切联系。例如今年针对邮件服务器Exim的off-by-one类型漏洞的利用,早在之前的比赛中就有类似的案例。最后结合自身的经历,探讨CTF的变化与发展趋势。
蚂蚁金服高级安全工程师,目前是蚂蚁金服巴斯光年实验室安全研究员。主要专注于IoT机具安全评审工作和IoT前沿安全研究技术,也获得过来自开源社区、docker、Dlink等国内外厂商的漏洞致谢,此外在Black Hat USA安全上也做过技术成果分享。
蚂蚁金服高级技术专家。主要经验在移动安全及漏洞挖掘上,也获得了来自Samsung、Google、Twitter、360等国内外厂商的漏洞致谢。同时带领团队在多个国内公开比赛中远程攻破多款最新 Android 手机,并且在 Black Hat, CanSecWest, HITCON, ZeroNights 等会议上做过技术成果分享。
隶属于Mcafee IPS Research Team,担任安全研究员工作。主要从事漏洞研究,擅长windows平台下的漏洞分析和利用撰写。对windows平台下的浏览器漏洞的有较为深入的研究。
议题概要:UAF(Use After Free)是一种在面向对象应用程序中常见的漏洞,在历史上,IE、Chrome、Safari等众多浏览器都曾经爆发出大量的可利用UAF漏洞。但是,在最新的windows10操作系统中,随着隔离堆,延迟释放,MEMGC等措施的引入,很多UAF漏洞不能再被利用。只有高质量的UAF漏洞才有可能被利用,并且其利用方式不尽相同。