KCon 2018黑客大会第二个演讲日精彩内容回顾

演讲中，来自360的安全研究员n1nty，从身份验证的概念，传统账号密码认证方式几挑战认证入手，解读了Kerberos Windows域环境下默认的身份验证协议，全面介绍了Kerberos的三种子协议：TGT、TGS、AP，以及针对这三种子协议的攻击手法。

动态审计Python代码——聂心明

亚信安全软件工程师聂心明解读了利用Python语言的特性，以及hook Python中危险的函数，把进入到危险函数中的关键参数打印到日志中，利用fuzzing的方法，帮助代码审计人员能快速发现Python程序中的漏洞，提高代码审计效率。

聂心明表示，之所以会想到动态代码审计，是因为：在执行大型项目的时候，代码结构复杂；有些危险的功能隐藏较深，比如危险的定时计划任务、sqlite数据库任意创建导致任意文件覆盖；此外也为提高效率。他指出，通过HOOK关键函数，可实现对危险函数的调用和传参的关注；可结合Auditd，可实现不通过修改原始代码去获取文件读写操作。

常用代码审计工具

From Grahpic Mode To God Mode: Vulnerabilities of GPU Virtualization——Rancho Han

以Hype-V和VMware为例，腾讯安全湛卢实验室Rancho Han从多个维度分析GPU虚拟化实现过程中的安全问题，详细剖析这些攻击面的发掘过程。他指出，GPU的作用主要是显示、渲染、计算。GPU虚拟化包含：全虚拟化、半虚拟化、硬件辅助虚拟化三种方式，具体如下图所示：

Hacking You Without Password——泳少@YongSha

摩拜单车安全工程师泳少@YongSha主要讲述了在当今Oauth2.0大部分厂商会遗留的问题，导致受害者惦记攻击者连接看似正常的登录过程却在从中遭受攻击者窃取token，从而导致攻击者能无需密码的情况登录受害者账号，从而进行一系列操作。

智能合约开发中的安全SDLC实践——Pavlo Radchuk

来自乌克兰的Pavlo Radchuk阐述了安全的软件生命周期实践在智能合约方面的适用性，分享了从安全的软件生命周期衍生的一些是智能合约更加安全并能风险最小化的方法。

从OPCODE看以太，坊智能合约安全——Hcamael

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!