2022 SDC 精彩议题抢先看
《从后门到漏洞——智能设备私有协议中的安全问题》
目前物联网智能设备的漏洞挖掘大部分集中在HTTP、UPNP等常见公有协议,私有协议是厂商自行设计并实现的,协议格式未知,漏洞挖掘难度较大,因此往往被大家所忽视。
本次演讲将以一个用于多个厂商的私有协议为例,讲解其中一系列漏洞的发现思路和细节,这组漏洞可能影响多个厂商数亿的网络设备,在这个过程中,我们将会着重探讨非常规的漏洞挖掘思路。
最初我们在某厂商的一个网络设备上发现了一个设计非常精妙的私有协议,该协议“似乎”是该厂商预留的一个管理“后门”。进一步探索,我们发现一个“突破点”,然后锁定了另一家更知名的网络设备提供商。
我们将研究范围扩大到了另一家网络设备提供商的设备,“令人失望”的是,该厂商的设备对管理用户的身份进行了认证,不存在前面发现的“后门”漏洞。在进一步的漏洞挖掘中,我们发现了影响该厂商所有网络设备的三种不同认证绕过漏洞,这组漏洞具备相同的触发点,但存在完全不同的利用方式。
演讲嘉宾简介
魏 凡
绿盟科技格物实验室-安全研究员
来自绿盟科技格物实验室,专注于嵌入式设备的漏洞挖掘,曾参加过天府杯和GeekPwn,发现过200+漏洞。
欢迎莅临2022 SDC 峰会现场
聆听议题完整内容
2.5折门票火热抢购中
✦ 2022 SDC 会议日程 ✦
✦
转发本文,参与抽奖
✦
开奖时间:10月14日(周五)14:00
安全开发者峰会(SDC)
看雪安全开发者峰会(Security Development Conference,简称SDC)是由拥有22年悠久历史的信息安全技术综合网站——看雪主办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。
自2017年7月份开始举办的第一届峰会以来,SDC始终秉持“技术与干货”的原则,致力于建立一个多领域、多维度的高端安全交流平台,推动互联网安全行业的快速成长。
大会将邀请业内顶尖安全专家莅临现场,议题覆盖IoT安全、移动安全、恶意软件、AI安全、工控安全、软件保护等多个领域,紧抓当下前沿技术,为大家带来一场顶尖的技术交流盛宴!
*扫码报名参会
球分享
球点赞
球在看