1.5K
DEVCORE CONFERENCE 2023 第二日技術場由 DEVCORE 紅隊服務團隊與技術研究團隊帶來共 7 場由攻擊視角出發的精彩演講,與近 400 位駭客及資安人員探索攻擊技術與漏洞研究過程。
(5) Meh – 挑戰百萬賞金!虛擬世界之密室逃脫
資深資安研究員 Meh 首度對外分享 CVE-2020-3947 的研究經歷,分析虛擬機背後可能存在、卻容易被忽略的安全問題及漏洞。Meh 在演講中透露研究員平時挖掘漏洞時的心路歷程,也展示了研究員會如何探索 VMware 這種虛擬環境的漏洞。Meh 表示,研究過程中雖然可能要面對找到已被找出的漏洞、漏洞被修補、fake bug 等挫折,但是從過程中累積失敗經驗,並保有挑戰自己的熱情,是研究過程中最難以取代的精華。
(6) Nini – Remote Door Execution
DEVCORE 資安研究員 Nini 以遠端開啟智慧門鎖為核心,展示從研究目標的發想、嘗試開鎖及最終成果的完整歷程。Nini 結合硬體及軟體面向,細數從傳統門鎖的機械結構、電子鎖的感測器模組及電子零件攻擊面,再到智慧電子鎖的網路攻擊面等不同攻擊面上遭遇的障礙及樂趣,以及最終成功解鎖的完整流程。演講最後, Nini 建議資安研究員應嘗試枚舉攻擊面,並透過大量閱讀及思考培養自身 slow hunch (慢直覺),做出各種嘗試,進而享受研究的過程。
(7) Orange & Angelboy – From Zero to Hero – 從零開始的 Pwn2Own 奪冠之路
駭客場最終場由 DEVCORE 首席資安研究員 Orange 及資深資安研究員 Angelboy 共同主講,分享參加 Pwn2Own 的完整過程。從前期對研究目標 SOHO SMASHUP 組合的篩選評估,找尋 0-Day 漏洞、與產品團隊攻防,到最終上場展示漏洞利用的研究成果,並以此榮獲 Pwn2Own Toronto 2022 漏洞研究競賽的冠軍及破解大師(Master of Pwn)頭銜的過程。Orange & Angelboy最後直指核心對與會人員道出要贏得比賽,對於團隊每個人員的了解相當重要,唯有理解團隊每個人所具備的技能和定位,才能在面對不同競賽類型時組織成合適的團隊編制及配置。