close

暨Syscan之後,又凹了主管讓我參加了OWASP,參加的目的當然是為了明天的Clickjacking囉,不然Web漏洞還能有什麼搞頭呢?講來講去不就是SQL Injection、XSS(SCRF)、File upload/download那些,不過能夠了解同業到底在做些什麼,類似的工作該怎麼包裝成產品,其實還滿有趣的,不過變成工作就不有趣了,非常的annoying。

今天令我印象較深刻的大概就是P.K.跟Birdman的Topic,很佩服Birdman可以把掛馬這玩意兒玩得這麼透徹,Sandbox分析跟Javascript Interpreter的結合,在很久以前自己就想搞了(聽說Birdman更早以前就在搞了),但是怎麼弄就是沒辦法把spidermonkey/rhino搭配Sandbox弄起來,一方面是自己程式能力還沒到哪個等級,另一方面是因為自己半調子的個性,每次看到有趣的新東西就情不自禁想去摸一下,結果到後來還是一個東西都生不出來

和Birdman不同的是P.K.的Presentation每次都讓人有種驚艷的感覺,除了他每次使用的手法跟演講Topic不會和其他Speaker重複之外,更讓人驚訝的是警界居然有個這麼威的黑客,果然還是不要讓警官先生認識比較好。

整體而言,攻擊手法沒有太大改變,但是偵測方法卻各有巧妙,尤其聽到把白箱測試、黑箱測試以及軟體生命週期運用在檢測軟體漏洞,讓我感覺好親切呀,這....不就是我當初的論文題目嗎(像是用有限狀態機來做Web AP的半黑箱測試之類的)?雖然後來論文被改成做其他東西,不過有人這樣搞就表示這東西應該是有搞頭,果然學術界跟業界Focus的點不太一樣,學生時代的火有種又被點燃感覺。

arrow
arrow
    全站熱搜

    nsysumis94 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄