AWVS

WVS(Web Vulnerability Scanner)是一个自动化的Web应用程序安全测试工具商业工具,它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。WVS可以通过检查SQL注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序的安全性。 它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。 自动手动爬网,支持AJAX、JavaScript AcuSensor灰盒测试 发现爬网无法发现文件 额外的漏洞扫描 可发现存在漏洞的源码行号 支持php、。NET(不获取源码的情况下注入已编编译.NET) 生成PCI、27001标准和规报告 网络扫描 FTP,DNS,SMTP,IMAP,POP3,SSH,SNMP,Telnet 集成openvas扫描漏洞

AppScan

Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序,它有助于专业安全人员进行Web应用程序自动化脆弱性评估。 针对新出现的 Web 漏洞自动执行动态(称为"黑匣")安全性测试,包括 Web 服务、Web 2.0 和丰富因特网应用,如 JavaScript、Ajax 和 Adobe Flash。 JavaScript Security Analyzer,用于对客户端安全性问题进行高级静态(称为"白匣")分析,如基于 DOM 的跨站脚本和代码注入。 增强了对 Web 服务和面向服务架构 (SOA) 的支持,包括 SOAP 和 XML。 通过 IBM Security AppScan eXtensions Framework 提供定制和可扩展性,允许用户社区构建和共享开放源码插件。

Metasploit Framework

购买过Kali Linux渗透测试、武官课程包、安全技术会员课程的学员不要再买此课程 Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,密码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。 Metasploit Framework是一个编写,测试和使用exploit代码的完善环境。这个环境为渗透测试,shellcode编写和漏洞研究提供了一个可靠的平台,这个框架主要是由面向对象的Perl编程语言编写的,并带有由C语言,汇编程序和Python编写的可选组件。 Metasploit Framework 作为一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台。它集成了各平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变得方便和简单。 使用Metasploit安全测试工具在渗透测试中可以做很多事情,你可以保存你的日志、甚至定义每个有效负载在运行完成之后是如何将其自身清除的。值得一提的是这个强大的工具是免费的,  

Kali 实战-免杀

购买过Kali Linux渗透测试、武官课程包、安全技术会员课程的学员不要再买此课程 所谓免杀指的就是恶意软件为了防止杀毒软件、防病毒软件对其进行逃避检查的一种技术,首先我们了解一下恶意软件的分类,病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序等等在用户非自愿的情况下通过系统漏洞或者通过欺骗诱导、打包执行安装到系统里面,而且他们都带有目的性,有的是为了控制我们的系统,有的是为了窃取信息,或者把我们的系统的高价值信息文件加密勒索我们,还有的软件会出于偷窥目的,打开电脑的声音或者摄像头等设备,偷窥我们的生活等等;还有一种是利用你的计算机的处理能力,利用你的带宽对其他IP地址发起攻击等,类似一种僵尸程序。 一般情况下IDC机房的服务器有物理保护,也有防火墙的保护,被感染恶意软件的几率比个人电脑低很多,所以当黑客对公司的服务器攻击不了的时候回退而求其次,对网络管理人员的个人电脑安装恶意程序。现在的RAT远程控制程序一般具备木马、病毒、键盘记录器、远程控制等等功能。黑客回诱导你点击钓鱼邮件等行为,一旦中招之后,即可以通过你的个人电脑就对你所管理的服务器发起访问请求。 在这个思路里面有两个关键点,一个是找到相关的人,并把RAT软件发送至该人员的电脑上。第二个关键点就是防病毒软件对RAT的查杀

云治理之云基础

随着云技术在国内发展日趋成熟,以及相关应用在政务、金融、教育等行业应用的逐步推广,加之国家相关产业政策的日趋完善和支持力度的逐步深入,国内云技术将迎来更加辉煌的发展前景。 本次视频的内容以介绍云计算基础为主,内容涉及云基础架构和资源,云计算对IT治理带来的挑战,国内外云计算市场概况及政策汇总以及云计算涉及的相关技术,从而帮助大家对云计算有一个概括性的了解。   课程大纲: 云概述 云计算下的IT治理 云计算市场概况 云计算相关技术

卓越测试中心

随着IT在组织中地位和作用不断提升,业务部门对IT系统的质量要求也在提高,同时测试组织和测试技术在 2000 年后有了很大的发展,随着测试技术的发展和测试部门的不断成长,越来越多的组织开始建立自己的测试中心,测试不再仅仅作为开发的后期阶段,系统上线的前期阶段,而是贯穿整个应用系统的全生命周期中。 测试中心在从需求的提出到系统的运维全过程中,与开发中心、运维中心进行业务交互,承担起IT系统全生命周期质量保证的职责,共同保证系统的高质量交付和运维,支撑组织业务的发展。  该课程从目前测试中心发展现状、测试中心进阶路标、价值定位、服务支撑架构、运营架构、组织结构、绩效管理、治理模式、资产管理,以及常见测试中心建设方案等方面对测试中心相关内容进行阐述,通过讲师精彩分享,可以掌握卓越测试中心的方法论、运营架构和治理模式以及常见测试中心建设方案,全面提升相关能力。。    

交接维管理

目前,企业在信息化系统建设、交付运维等过程中会遇到交维质量差,工作衔接缺失等一系列问题,进而严重影响了企业整体的信息化服务水平。 为有效提升运维服务的针对性和风险应对能力,把关应用上线质量风险,评估关键业务的上线资格,确保上线的IT服务持续的满足业务运营需求,谷安充分借鉴以往咨询项目实施经验和客户案例,推出交接维管理的咨询解决方案,从典型问题与挑战,交接维管理概述、观点及方法论和最佳实践等几个方面就交接维管理进行详细介绍,为企业提升交接维管理水平提供相应的借鉴和参考。 课程大纲: 典型问题与挑战 交接维管理概述 观点与方法论 最佳实践方案 客户案例  

CMMI L3

 CMMI全称是Capability Maturity Model Integration,即能力成熟度模型集成(也有称为:软件能力成熟度集成模型). 其目的是帮助软件企业对软件工程过程进行管理和改进,增强开发与改进能力,从而能按时地、不超预算地开发出高质量的软件。 该模型共有5级,分别代表不同级别的软件实施能力。 本系列课程是基于3级能力的相关内容进行讲解,共有11个过程域,分别讲解。

Python 基础

Python是一种解释型、面向对象、动态数据类型的高级程序设计语言。 Python由Guido van Rossum于1989年底发明,第一个公开发行版发行于1991年。 像Perl语言一样, Python 源代码同样遵循 GPL(GNU General Public License)协议。 课程大纲: 01- 简介 02- 类型和运算     02-1 - 数字     02-2 - 动态类型简介     02-3 - 字符串     02-4 - 列表     02-5 - 字典     02-6 - 元组、文件及其他 03 - 语句与语法     03-1 - Python语句简介     03-2 - 赋值,表达式和打印     03-3 - 条件语句     03-4 - 循环语句     03-5 - 简单的迭代器说明 04 - 函数     04-1 - 函数基础     04-2 - 函数作用域     04-3 - 参数     04-4 - 高级函数     04-5 - 迭代器说明 05 - 模块     05-1 - 模块简介     05-2 - 模块代码编写基础     05-3 - 模块包     05-4 - 模块高级话题 06 - 类和面相对象     06-1 - 面相对象简介     06-2 - 类代码编写基础     06-3 - 实例讲解     06-4 - 累代码编写细节     06-5 - 运算符重载     06-6 - 类的设计     06-7 - 类的高级主题 07 - 异常和工具     07-1 - 异常基础     07-2 - 异常编码细节     07-3 - 异常对象     07-4 - 异常的设计

Linux安全

Linux基本安全加固 系统更新安全、帐号基本安全、引导与登录安全控制、远程访问安全、服务进程安全控制、弱口令检测、开放端口安全检测、日志分析与安全 防火墙 包过滤防火墙表链结构与区域概念、主机型防火墙与网络型防火墙、防火墙应用配置实例、SELinux 日常安全运维 OpenVAS漏洞评估系统 Cacti集中监测平台 Zabbix分布式监测平台 Puppet集中配置管理系统 应用服务安全 LNMP安全配置 Rsync安全配置 FTP服务安全配置 Keepalived双机热备与安全

Web安全基础

Web应用安全开发与测试课程大纲: 1、Web安全现状 2、现网漏洞分析 漏洞形成原理 漏洞危害 安全漏洞测试方法 漏洞整改办法 3、渗透思路与测试方法概括 4、安全开发设计

网络安全基础

详细介绍了CCNA网络基础和相关的网络安全技术

国家注册信息安全员CISM

注册信息安全员认证费用包含考试费、教材费、讲义费等 信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发 展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略 举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最 核心、最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统 安全稳定运行的重要基本要素之一。 注册信息安全员(CISM)是由中国信息安全测评中心向政府机构、社会团 体、企事业单位中的信息安全工作人员颁发的专业资质证书,是对我国信息安全 人员进行资质评定的重要形式之一。持证人员掌握保障信息系统安全的基本知识 和技能,具备从事信息安全相关工作的基本能力。 CISM 知识体系大纲面向注册信息安全培训人员,以及信息系统维护人员的 工作需求,注重基本知识和实践操作。大纲内容从我国国情出发,根据地方/行 业信息安全管理的实际工作需要,以实用性和操作性为原则,明确规定了 CISM 应当掌握的知识要点,是 CISM 教材编制、讲师授课、学员学习,以及考试命题 的重要依据。    课程名 课程介绍 课时 CISM0101 信息安全 保障基础 介绍信息安全保障基本知识,信息安全保 障框架模型、信息安全保障实践,以及国 家信息安全法规、政策和标准方面知识  3 CISM0201 密码及网络 安全 介绍密码基本知识、网络安全防护策略及 常见的网络安全产品。 3 CISM0202 终端及数据 安全 介绍 Windows 7 操作系统和 IE 浏览器、 电子邮件即时通讯软件等常见桌面应用 的安全配置,介绍个人文件加密、文件粉 碎、数据备份和数据防泄漏等数据保护技 术。 3 CISM0203 恶意代码及 网络安全攻防 介绍恶意代码的概念和防御查杀技术,介 绍网络安全攻击与防护的各阶段中相关 技术及工具。 3 课程编号 课程名 课程介绍 课时 CISM0301 信息安全 管理基础 介绍信息安全管理基本概念、风险管理 等级保护等基础知识,介绍应急响应与灾 难恢复管理相关概念、策略和主要内容   3 CISM0302 信息安全 管理体系 介绍信息安全管理体系、信息安全管理控 制措施方面知识。 3 总计培训 18 学时(3 天),考试 2 小时

ISO20000标准

本课程有四个部分: 一、概述 主要是讲跟IT服务管理相关的概念 二、ISO20000标准解读 全部标准条款的解读,05版是有170项要求,最新的2011版增加到256项要求。本节着重把这256项要求逐一做解读。 三、ISO20000认证过程介绍 介绍认证过程和准备事项 四、ISO20000体系建设经验分享 主要是做体系方向上的分享(不涉及具体流程的落地分享)    

信息安全必修课

 不适合人群:CISP、CISSP、Security+ 的持证者勿买! 通过学习此课程,可以: 掌握信息安全保障的框架、基本原理等基础知识; 掌握密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理; 掌握信息安全攻防和软件安全开发相关的技术知识; 掌握信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识; 掌握信息安全相关的工程的基本理论和方法,以及信息安全相关的标准、法律法规、政策和道德规范等。          

CISSP考点分析

此课程为CISSP保障班独享,只依托网校平台供保障班学员考前冲刺学习,不包含在黑金卡范围。 CISSP(Certified information System Security Professional, 注册信息系统安全认证专家)是目前世界上最权威、最全面的国际化信息系统安全方面的认证,由国际信息系统安全认证协会(ISC)2组织和管理,(ISC)2在全世界各地举办考试,符合考试资格的人员在通过考试后被授予CISSP认证证书。CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力,提升其专业可信度,并为企业和组织提供寻找专业人员的凭证依据,目前已经得到了全世界广泛的认可。越来越多的公司要求自己和合作伙伴的员工拥有CISSP,该资质持有者目前供不应求。取得CISSP认证,表明持有者拥有完善的信息安全知识体系和丰富的行业经验,以卓越的能力服务于各大IT相关企业及电信、金融、大型制造业、服务业等行业,CISSP的工作能力值得信赖。 本课程为CISSP考试重点分析,内容涵盖课程全部章节重要知识点,掌握课程内容为通过考试获得证书提供保障  

IBM 数据安全保护

近两年,随着网络攻击的日趋复杂,网络边界也在不断后移,纵深防御体系的建立,对企业安全至关重要。而在发生数据泄露前的最后一道“城墙”,便是由数据库安全产品组成。 讲座内容脉络   数据库活动监控 如何捕获到访问活动数据 如何处理和分析数据 如何实现和SIEM的联动预警 对大数据平台和文件系统的支持  

金山终端安全

金山V8+终端安全系统是新一代企业终端安全软件,该产品可动态检测、实时处理、全网追溯用户网络中的未知威胁,满足企业用户日益复杂的含PC、移动、虚拟桌面在内的多类终端安全防护需求。 课程大纲:第一部分:V8+终端安全系统安装 1、整体介绍 2、手动安装 3、手动安装 4、安装总结   第二部分:V8+终端安全系统的初始配置 1、授权 2、升级 3、初始配置     第三部分:V8+终端安全系统的详细配置 1、首页模块 2、终端管理模块 3、边界管理模块 4、软件管理模块 5、漏洞修复 6、信息统计模块 7、设置中心模块

山石HCSP认证

课程不含面授,不含考试费,不含教材 Hillstone山石网科安全认证体系介绍        为了满足网络的高速发展对专业安全工程师的需求,Hillstone山石网科公司设立了Hillstone山石网科认证网络安全工程师从初级到高级的一系列课程,HCSA为初级认证,同时有HCSP中级认证及HCSE高级认证,整套认证主要定位于网络安全相关内容。  Hillstone山石网科安全认证课程内容     山石网科成立于2006年,专注于网络安全领域的前沿技术创新,为企业级和运营商用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。山石网科以网络安全的需求变化为创新基点,立志为全球用户打造安全的网络环境,成为世界第一流的受人尊敬的安全厂商。  

山石HCSA认证

课程不含面授,不含考试费,不含教材 Hillstone山石网科安全认证体系介绍        为了满足网络的高速发展对专业安全工程师的需求,Hillstone山石网科公司设立了Hillstone山石网科认证网络安全工程师从初级到高级的一系列课程,HCSA为初级认证,同时有HCSP中级认证及HCSE高级认证,整套认证主要定位于网络安全相关内容。  Hillstone山石网科安全认证课程内容     山石网科成立于2006年,专注于网络安全领域的前沿技术创新,为企业级和运营商用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。山石网科以网络安全的需求变化为创新基点,立志为全球用户打造安全的网络环境,成为世界第一流的受人尊敬的安全厂商。  

移动支付安全

手机银行、短信支付、扫码支付、微信钱包等这些移动支付方式日渐流行,但是,在这简单快捷的移动支付背后,却存在着不小的安全隐患。

企业数据安全

随着互联网技术的发展以及移动终端的广泛应用,全世界时时刻刻都发生着海量的数据交换。不论是浏览网站、收发邮件,还是使用各种移动应用,都有可能留下使用者的行踪和隐私痕迹。然而,一旦有重要的数据外泄,对企业形象及其实际利益都会带来重大损害。因此,必须提高网络安全意识,保障企业数据安全。

提升安全意识

随着国家以及社会各界对网络信息安全越来越关注,各行业监管机构对企业信息安全宣传建设的要求也越来越明确。那么信息安全对于机构来说到底有多重要?机构每一位成员都肩负着怎样的信息安全责任?我们应该如何正确的看待信息安全人人有责,本课程将给您以区别于大家一贯认为的答案;并且会帮助大家解决最为关键的问题:如何才能有效地提升员工的信息安全意识。

微博安全

简述微博的概念,综述微博潜在安全问题并举例详细说明,针对以上问题归纳总结微博安全防护建议 让我们引用世界头号黑客Kevin Mitnick 曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。安全技术和产品无法保护每一个人远离每一种可能存在的安全风险。通过提升全员的信息安全意识,让员工建立起保护企业信息的责任感,是企业面对安全威胁的最佳方式。

  最新课程

注册信息安全员认证费用包含考试费、教材费、讲义费等 信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发 展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略 举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最 核心、最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统 安全稳定运行的重要基本要素之一。 注册信息安全员(CISM)是由中国信息安全测评中心向政府机构、社会团 体、企事业单位中的信息安全工作人员颁发的专业资质证书,是对我国信息安全 人员进行资质评定的重要形式之一。持证人员掌握保障信息系统安全的基本知识 和技能,具备从事信息安全相关工作的基本能力。 CISM 知识体系大纲面向注册信息安全培训人员,以及信息系统维护人员的 工作需求,注重基本知识和实践操作。大纲内容从我国国情出发,根据地方/行 业信息安全管理的实际工作需要,以实用性和操作性为原则,明确规定了 CISM 应当掌握的知识要点,是 CISM 教材编制、讲师授课、学员学习,以及考试命题 的重要依据。    课程名 课程介绍 课时 CISM0101 信息安全 保障基础 介绍信息安全保障基本知识,信息安全保 障框架模型、信息安全保障实践,以及国 家信息安全法规、政策和标准方面知识  3 CISM0201 密码及网络 安全 介绍密码基本知识、网络安全防护策略及 常见的网络安全产品。 3 CISM0202 终端及数据 安全 介绍 Windows 7 操作系统和 IE 浏览器、 电子邮件即时通讯软件等常见桌面应用 的安全配置,介绍个人文件加密、文件粉 碎、数据备份和数据防泄漏等数据保护技 术。 3 CISM0203 恶意代码及 网络安全攻防 介绍恶意代码的概念和防御查杀技术,介 绍网络安全攻击与防护的各阶段中相关 技术及工具。 3 课程编号 课程名 课程介绍 课时 CISM0301 信息安全 管理基础 介绍信息安全管理基本概念、风险管理 等级保护等基础知识,介绍应急响应与灾 难恢复管理相关概念、策略和主要内容   3 CISM0302 信息安全 管理体系 介绍信息安全管理体系、信息安全管理控 制措施方面知识。 3 总计培训 18 学时(3 天),考试 2 小时
讲师: 高老师 hyqkx1977 评分: ¥2800.00
购买过Kali Linux渗透测试、武官课程包、安全技术会员课程的学员不要再买此课程 所谓免杀指的就是恶意软件为了防止杀毒软件、防病毒软件对其进行逃避检查的一种技术,首先我们了解一下恶意软件的分类,病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序等等在用户非自愿的情况下通过系统漏洞或者通过欺骗诱导、打包执行安装到系统里面,而且他们都带有目的性,有的是为了控制我们的系统,有的是为了窃取信息,或者把我们的系统的高价值信息文件加密勒索我们,还有的软件会出于偷窥目的,打开电脑的声音或者摄像头等设备,偷窥我们的生活等等;还有一种是利用你的计算机的处理能力,利用你的带宽对其他IP地址发起攻击等,类似一种僵尸程序。 一般情况下IDC机房的服务器有物理保护,也有防火墙的保护,被感染恶意软件的几率比个人电脑低很多,所以当黑客对公司的服务器攻击不了的时候回退而求其次,对网络管理人员的个人电脑安装恶意程序。现在的RAT远程控制程序一般具备木马、病毒、键盘记录器、远程控制等等功能。黑客回诱导你点击钓鱼邮件等行为,一旦中招之后,即可以通过你的个人电脑就对你所管理的服务器发起访问请求。 在这个思路里面有两个关键点,一个是找到相关的人,并把RAT软件发送至该人员的电脑上。第二个关键点就是防病毒软件对RAT的查杀
讲师: yuanfh 评分: ¥300.00

  精品课程

安全课堂渗透测试分享: 423016038(学校名字+用户名申请) Kali Linux前身是 BackTrack,是一个基于 Debian 的 Linux 发行版,包含很多安全和取证方面的相关工具。 Kali Linux预装了许多渗透测试软件,包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器),以及Aircrack-ng (一套用于对无线局域网进行渗透测试的软件). 用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux,Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。 课程大纲: 一、课程介绍 Kali linux介绍——300+tools、手机、arm 渗透测试标准介绍——pets 二、Kali安装 硬盘安装 Usb持久加密安装 VirtualBox安装 安装vm tools(header) 熟悉工作环境 熟悉bash Kali的并发线程限制 电源优化 三、工作环境优化 升级 安装软件 安装java 安装显卡驱动 设置代理链 无线网卡设置 服务开关 浏览器插件 翻墙 四、实验环境准备 Windows虚拟机 Linux虚拟机 Metasploitable 五、基本工具使用 Nc Wireshark Tcpdump Vi grep awk cut 等 过程文档记录 六、信息收集 主动信息收集 被动信息收集 七、弱点扫描 Nessus Openvas 八、缓冲区溢出 Windows溢出 Linux溢出 九、提权 Windows系统提权 Linux系统提权 十、无线攻击 802.11协议 802.11包结构 硬件选择 Aircrack套件 Wps漏洞 十一、客户端攻击 社会工程学 IE漏洞利用 Java漏洞利用 十二、WEB应用程序渗透 跨站 文件包含 Sql注入 上传漏洞 远程代码执行 Web代理工具 十三、密码破解 在线破解 离线破解 Pass the hash 劫持与欺骗 十四、重定向与隧道 端口转发 Ssh隧道 代理链 http隧道 封装 十五、Metasploit framework 基本配置 用户接口  Auxiliary Payload Exploit   Meterpreter   十六、DDoS攻击 网络DDoS 服务器DDoS 应用层DDoS 十七、免杀技术 十八、补充 电子取证        
讲师: yuanfh 评分: ¥599.00
黑客世界存在着无数未知与挑战,对于黑客来说,黑掉目标是内心的本源冲动。黑掉并不是要带来破坏,而是带来创造力,在无数黑客的努力下,我们可以看到整个科技界在良性进化。你黑与不黑,漏洞都在那,与其被地下黑客滥用,还不如有约束地曝光它,这种曝光是一种平衡,绝不能够一厢情愿。 本届 KCon,我们将曝光许多黑掉手法,无论是漏洞、攻击、还是反攻,我们要做到心中有数,才能够坦然面对未来那些未知的东西,才能做好真正的安全。 大会议题 404 《知道创宇漏洞社区计划》,hacker@kcon:~# ./zoomeye —dork 'app:openssl' | ./sebug —vul 'openssl'   GD 《家庭安全的第一道—门锁》,锁与安全,锁是家居的第一道,锁如同服务器上的防火墙,该如何选择,该如何加固,又该如何分辨防盗性能呢?   Longas《大力出奇迹のWiFi Hacking》,越来越多的人都开始玩 WiFi Hacking。随着 5G、WiFi 普及化等概念的落地,本议题也将探讨 WiFi Hacking 的主要技术点与实际应用场景的偏差,并为国内的无线安全爱好者及安全从业小伙伴们分享一个全新的安全平台。 Depth  《运营商安全那些事》,运营商的安全从业者,分享运营商网络环境中的那些脆弱环节,以及一些特殊角度的安全隐患。   Kevin2600《黑无止境 — 那些年我们绕过的锁》,传统物理安全的历史由来已久,涉及各行各业的各个领域。门禁、视频监控、警报系统,种类繁多。本议题将跟大家一起分享和探讨传统物理安全在物联网时代的特点,以及物理安全设备的漏洞挖掘,分析和利用。   Depth 《运营商安全那些事》,运营商的安全从业者,分享运营商网络环境中的那些脆弱环节,以及一些特殊角度的安全隐患。   Mxi4oyu 《基于树莓派的渗透测试》,通常来说黑客只要能破解无线网络就能攻入企业内部,以此撬开企业内网大门。本议题主要讨论通过改装树莓派使其成为攻破企业内网的隐秘武器以及树莓派在渗透测试中的一些应用。   WZT 《Shell Hacking》,如何只利用 Bash 脚本语言以及 Linux 提供的强大命令来完成网络渗透测试,涉及后门、扫描器、远程猜解弱密码、Rootkit 隐藏、密码偷取、端口转发等等一系列由 Bash 编写的工具原理和演示。   zph 《工业网络渗透,直击工控安全的罩门》在工控安全中,企业关注更多的通常是物理防护与功能安全,本次议题将讨论通过利用指纹特征从企业外网攻陷 SCADA 等系统并进一步渗透内网而操控整个工控网络的事例。   伤心的鱼 《剑客世界的溯源神话》数据情报下的 Web 攻击溯源技术。本议题着重介绍,基于大数据的信息探测平台、处理引擎、联动效果,并对蜜罐、肉鸡数据及攻击代码做出详解。   z7sky & 行之 《细数安卓 APP 那些远程攻击漏洞360》 Vulpecker Team 在长期的 APP 安全审计中,积累了大量的安卓 APP 远程攻击案例,议题将和大家分享这些不为人知的漏洞,探讨针对这些远程攻击漏洞的防御策略。   neobyte 《谈谈安卓的 Intent 注入》Intent 是安卓 Java 环境的一种 IPC 形式。Intent 注入可以让 APP 发送我们想要的 Intent。议题归纳了几种常见的 Intent 注入类型,如何用工具去自动挖掘这些漏洞,并演示了几个在安卓框架层、系统级 APP 以及浏览器中发现的 Intent 注入漏洞。   Hearmen 《Flash 虚拟机内存管理及漏洞利用》Flash 作为现阶段互联网上广泛使用的一种多媒体文件类型,其自身的安全性深刻的影响着几乎所有的互联网用户。本议题将从 Flash 虚拟机对于内存管理的实现入手,与大家分享其在内存分配上的几个特点,以及由此实现的几种较为通用的 Flash 漏洞利用方法。   WZT 《Docker/LXC 原理与绕过》讲述基于 Linux namespace 技术的沙箱原理,同时描述 Docker 的实现细节以及如何利用内核漏洞来绕过 Docker/LXC 获取系统所有权限。   长短短  《Talk Is Cheap:Web 2.0 云攻击》基于开源社区形式的 Web2.0 Hacking 平台。   xisigr  《Mobile Browser UI Security》结合 IOS 上新发现的几个浏览器 UI 漏洞,介绍移动浏览器 UI 安全都有哪些,和 PC 浏览器有何不同?为什么一个浏览器 UI 漏洞在 IPhone 上存在,而在 IPad 中却没有?当一种攻击和屏幕尺寸、分辨率、视觉关联在一起的时候,UI 上的安全就凸显的异常重要。   走马 《Cookie 之困》Cookie 在各大浏览器中的实现如何混乱、缺陷如何不堪?Cookie 如何让主流支付乱作一团?Cookie 驻留式攻击为何物、多强悍?Cookie 又如何跃身控制平面干掉一片?让我们一探究竟。   Kimon 《工控系统安全威胁与应对探索》在工业 4.0 时代,工控系统以及工控设备的安全性在经历严峻的考验。本议题将从工控系统、设备、网络协议等方面为大家展示黑客眼中的工控系统,并与大家深入探讨工控系统的安全应对方案。   Z-0ne 《Exploit PLC on the internet》探讨真实生产环境下工控设备接入互联网后产生的风险及验证的多种方式。议题还会以西门子 S7-300 PLC 来展示探索内网资源新的攻击方式与利用技术。另外议题还会第一次披露西门子 CP 模块上的拒绝服务和发布针对西门子 S7 系列 PLC 协议的 Fuzz 工具。  
Kcon 2015 1600
讲师: KCon 评分: 免费

  网校动态

  • 1猎狐scf开始学习课时 AWVS简介8分钟前
  • 2李明泽开始学习课时 流量操控技术、重定向...8分钟前
  • 3猎狐scf完成了课时 绕过WAF防火墙10分钟前
  • 4猎狐scf开始学习课时 绕过WAF防火墙10分钟前
  • 5猎狐scf完成了课时 Mysql DOS攻击10分钟前
  • 6猎狐scf开始学习课时 Mysql DOS攻击10分钟前
  • 7猎狐scf完成了课时 Google10分钟前
  • 8猎狐scf开始学习课时 Google10分钟前

  热门社区

【转载】漏洞预警:微信曝任意代...0

4天前

作者:魏十七 链接:https://zhuanlan.zhihu.com

学的对,学得会。零基础也不是问题   开始学习