选举安全远非今年的虚拟安全简报中提供的一切
所有人的目光都关注即将举行的美国总统大选,因此,今年的选民安全是黑帽美国的首要议程,这不足为奇。
8月5日,星期三,密码学家和计算机科学家马特大火s打开主题演讲地址将关注保持美国大选在正在进行的过程中的挑战 - 技术,后勤和政治上的挑战新冠病毒大流行。
安全研究人员长期以来一直警告说,该技术和基础设施依靠提供免费的选举。漏洞可以用来对投票过程的完整性产生怀疑。
黑帽子的选举安全 - 由于大流行而实际上是第一次上演的,并没有在周三的主题演讲中结束。
克里斯·克雷布斯(Chris Krebs)美国网络安全和基础设施安全局主任,将于以讲话着重于联邦支持州和地方官员在11月举行安全选举的努力。
周三晚些时候,一位投票机供应商的代表,克里斯·沃拉钦(Chris Wlaschin),将与马克·库尔,网络安全公司Synack的首席技术官,讨论其相对观点以及需要改善协作的需求。
“投票行业和正在研究其产品的安全研究人员需要一项脆弱性披露计划,因此两个社区都可以有效地努力解决选举系统中的问题,并最终使美国的民主更强大,更富有弹性,”预览演讲解释。
但是选举安全远非今年的虚拟维加斯活动所提供的一切。对于那些对网络黑客攻击感兴趣的人beplay体育能用吗每日swbeplay2018官网ig团队为您服务。
黑帽美国2020beplay体育能用吗年的顶级网络安全研究:
逃生的空间:在模板安全线外面涂抹
Weds,10:00 PT / 17:00 UTC
研究人员AlvaroMuñoz和Oleksandr Mirosh发现了多种实现的方法远程代码执行在多个流行的内容管理系统平台上,包括Atlassian Confluence,Alfresco,Liferay,Crafter CMS,Dotcms,Xwiki和Apache。
研究人员解释说:“我们将分析这些产品和框架如何实施安全控制并审查我们绕过它们的各种技术。”
“我们将描述我们详细发现的所有漏洞,并显示最有趣的攻击的工作演示,无私人用户可以在SharePoint或LifeRay Servers上运行任意命令。”
查看会话预览更多细节。
HTTP请求走私在2020年 - 新变体,新防御和新挑战
Weds,10:00 PT / 17:00 UTC
HTTP请求走私可用于跨WAF和安全解决方案,毒药HTTP缓存,对用户的注入响应以及劫持用户请求的偷运请求。beplay维护得多久
您可能会认为,可以追溯到2005年的攻击者技术将在15年后消除。
问题是重新回到Black Hat 2019的众人瞩目的焦点,并且阿米特·克莱因(Amit Klein)将进行一场演讲,以进一步消除捍卫要求走私的任何幻想是一项完成的工作。
查看会话预览更多细节。
扎根的未经验证的旅程:pwning贵公司的企业软件服务器
Weds,11:00 PT / 18:00 UTC
SAP的技术在企业中无处不在。SAP解决方案管理器(SOLMAN)是与许多其他系统连接的强制性产品。
研究人员Pablo Artuso和Yvan of Onapsis Research Labs的真实性将解释PWNING SOLMAN如何使攻击者在Active Directory Anstallation上使ERP等同于管理员特权。
“从未经身份验证的HTTP访问中,攻击者将能够妥协SAP景观中的所有系统。此外,研究人员解释说,将融合一系列漏洞。
研究人员与SAP合作,在介绍之前解决问题。
查看会话预览更多细节。
beplay体育能用吗网络缓存纠缠:中毒的新颖途径
Weds,11:00 PT / 18:00 UTC
Portswigger研究总beplay官网可以赌监James Kettle今年提供了有关如何在网站上识别脆弱的Web缓存设置的演讲。beplay体育能用吗可以利用脆弱的缓存部署来骑行越过站点安全性。
可以创建利用链条来进行各种恶作剧。
Kettle解释说:“这些缺陷遍及所有缓存层 - 从庞大的CDN,通过缓存的Web服务器和框架一直到片段级的内部模板缓存。”beplay体育能用吗
“我将展示如何误导转型,天真的正常化和乐观的假设,让我进行众多攻击,包括持续中毒在线报纸上的每一页,损害内部DOD Intelligence网站上的管理接口,并在全球范围内禁用Firefox更新。”beplay体育能用吗
查看会话预览更多细节。
发现隐藏的属性以攻击节点。JS生态系统
Weds,12:30 pt / 19:30 UTC
由佐治亚理工学院的计算机科学家领导的学术界将解释为什么Node.js的安全对于Web服务器和桌面客户端至关重要。beplay体育能用吗
研究人员创建了一种针对Node.js平台的新颖攻击方法,称为“隐藏属性滥用”(HPA)。
“新攻击利用了JavaScript的广泛使用的数据交换功能,以篡改Node.js程序的关键程序状态,例如服务器端应用程序。HPA使远程攻击者有权发动严重的攻击,例如窃取机密数据,绕过安全检查并发起拒绝服务攻击。
查看会话预览更多细节。
需要DOH:DNS的持续加密和集中化
Weds,14:30 PT / 21:30 UTC
试图保护DNS中间(MITM)截距和操纵,DNS-Over-TLS(DOT)和DNS-Over-HTTPS(DOH)的查询已成为重要的网络技术。
这些技术提供了增强的隐私权,但由于用户迁移到支持DOT/DOH的少数DNS提供商时,人们仍然对集中化产生了担忧。
在Black Hat的演讲中,研究员Eldridge Alexander将争辩说,尽管对集中化的担忧是“建立得很好的,但它们可能是暂时的”。同样,据亚历山大(Alexander)称,对DOT和DOH的忧虑也可以解决。
查看会话预览更多细节。
当TLS入侵您时
Weds,14:30 PT / 21:30 UTC
研究人员Joshua Maddux将解释“打算使TLS快速的功能也使其作为攻击向量有用”服务器端请求伪造((SSRF),除其他攻击外。
研究人员解释说:“虽然过去在SSRF中使用HTTPS URL的工作依赖于SNI注入等平台特定的错误,但我们可以进一步发展。“我(我将提出一种利用TLS来针对内部服务的新颖,跨平台的方式。”
查看会话预览更多细节。
我计算 - 在线利用Excel
星期四,11:00 PT / 18:00 UTC
针对办公应用程序的利用是(可悲的)日常发生,但是Word之类的在线版本的工具呢?
微软的安全工程师尼古拉斯·乔利(Nicolas Joly)着手发现两年前对该问题的答案。在此过程中,他发现了Excel Online中的一个缺陷,其详细信息将在Black Hat上呈现。
“这个简短的演示描述了fnconcatenate公式中的整数溢出漏洞(CVE-2018-8331)以及如何将Excel公式链接在一起以使服务器上的RCE。”他解释说。
查看会话预览更多细节。
GCP的横向运动和特权升级;妥协任何组织而不放置植入物
星期四,14:30 PT / 21:30 UTC
研究人员迪伦·艾里(Dylan Ayrey)和艾莉森·多诺万(Allison Donovan)的演讲,Google Cloud的安全性将放在显微镜下。
研究人员计划展示几种技术,以“通过ACTAS许可,特权升级,横向移动以及在Google Cloud中妥协的广泛项目妥协”。
查看会话预览更多细节。
您不知道是谁发送了该电子邮件:对电子邮件发送者身份验证进行18次攻击
星期四,14:30 PT / 21:30 UTC
电子邮件发送者身份验证的缺点将在研究人员Jianjun Chen,Vern Paxson和Jian Jiang的演讲中概述。
该团队在对10个受欢迎的电子邮件提供商和19个电子邮件客户端进行测试之前,在测试这些攻击矢量之前,确定了18种类型的攻击以绕过电子邮件发送者身份验证(包括SPF,DKIM和DMARC)。
查看会话预览更多细节。
第二个帮助
我们将粘在今年的其他虚拟黑色帽子美国会议:
我们去了爱荷华州,我们得到的只是这些重罪逮捕记录
Weds,12:30 pt / 19:30 UTC
Coalfire Systems的Justin Wynn和Gary Demercurio对红色团队的参与进行了深入的讨论,这导致了前所未有的结果。阅读更多
在星星中窃窃私语:实际观察卫星窃听攻击
Weds,12:30 pt / 19:30 UTC
詹姆斯·帕维尔(James Pavur)对跨国,空中和海洋的卫星宽带通讯进行了实验性研究。阅读更多
FastCash和Injx_pure:威胁参与者如何使用公共标准进行财务欺诈
Weds,13:30 PT / 20:30 UTC
这次演讲将为分析师提供一个机会,可以理解允许快速播放和INGX_PURE恶意软件家族的基本,公开记录的标准。阅读更多
HealthScare - 内部人士的医疗活检应用程序安全
Weds,12:30 pt / 19:30 UTC
塞思·福吉(Seth Fogie)关于当代医疗保健解决方案中的脆弱性和设计问题。beplay维护得多久阅读更多
通过建立和培养女性Infosec社区,从印度到世界其他地区的影响
Weds,13:30 PT / 20:30 UTC
Vandana Verma Sehgal将讨论Infosecgirls社区如何将更多女性带入网络安全劳动力。阅读更多
在Stuxnet的打印机脆弱性之后的十年:印刷仍然是通往天堂的楼梯
星期四,11:00 PT / 18:00 UTC
Peleg Hadar和Tomer Bar深入研究了臭名昭著的Stuxnet计算机蠕虫,然后在Windows Print Spooler中提供了两个零日漏洞的现场演示。阅读更多
云的阴暗面 - 缺乏EMR安全控制如何帮助放大阿片类药物危机
Weds,13:30 PT / 20:30 UTC
本演讲有望展示有关阿片类药物危机如何通过电子保健记录系统暴露运营安全弱点的证据,以及为什么仅修补这些警报没有解决问题。阅读更多
每天的sbeplay2018官网wig将回来美国黑帽子的覆盖范围整个星期
詹姆斯·沃克(James Walker)的其他报道。
