未开启cookie无法登录使用i春秋的完整服务,请设置开启浏览器cookie

进入企安殿 进入助教后台
课程库  >   知识体系   >   【InForSec】清华国际安全会议和竞赛成果分享会   >   BadTunnel:跨网段劫持广播协议-于旸(一)

【温馨提示】

  Flash加载失败,请按以下提示检查您的Flash问题:

  1. 请确认是否安装最新版本Flash,如提示Flash版本低,请更新

  2. 请确认浏览器中Flash插件是否启用,不同浏览器检查方法如下:

  • Safari浏览器:偏好设置-安全性-互联网插件-勾选“允许插件”-插件设置-确认“Adobe Flash Player”勾选
  • Chrome浏览器:偏好设置-显示高级设置-内容设置-Flash区域选择“允许网站运行Flash”
  • IE浏览器:Internet选项-高级-点击“重置”
  • 下载更新
    播放器版本切换

    温馨提示:您当前浏览器不支持HTML播放器

    试看结束,请登录后观看完整视频

    弹幕

    我的弹幕

    • 字号
    • 位置
    • 颜色

    显示设置

    屏蔽弹幕

    • 顶部
    • 底部
    • 滚动

    透明度

    100%
    发送
    关注(2177
    点赞(216
    手机看

    BadTunnel:跨网段劫持广播协议-于旸(一)
    课程目录
    课程讨论(0
    网络安全研究国际学术论坛
    关注(155
    好评度
    93%
    课程节数
    12
    课程信息

    课程难度:初级

    学习人数:32940

    课程状态:已完结-共6节

    时长:153分钟

    课程介绍

    清华大学网络安全宣传周之国际顶级安全会议和竞赛成果分享会围绕着“网络安全”和“系统安全”两大主题出发,腾讯玄武实验室总监于旸、清华大学计算机系博士生陈建军、清华大学网络科学与网络空间安全研究院副教授张超和清华大学计算机系硕士生刘煜堃带来了精彩演讲,分享各自的研究成果、并提供新的解决思路。 

     主题一:BadTunnel:跨网段劫持广播协议-于旸

    演讲内容:大多数基于广播的协议在设计中并未太多考虑安全性。一是广播本来就会让网段内所有系统都接收到请求,二是通常认为也只有在网段内才能发起对广播协议的欺骗、劫持攻击。在这个演讲中会介绍如何利用微软NetBIOS协议设计中的几个特点,以及Windows操作系统中一系列特性的组合,实现跨网段劫持NetBIOS Name Service协议,并最终劫持操作系统的所有网络通信。

    主题二:如何“黑”掉美国国家安全局(NSA)网站——HTTP协议头的二义性-陈建军

    演讲内容:我们发现了互联网中应用最广泛的HTTP协议重大安全漏洞Host of Toubles,影响大量HTTP软件,可以造成缓存污染,防火墙绕过等攻击,这一成果发表在国际安全顶级会议CCS 2016上。该漏洞是由于不同HTTP实现解析和处理HTTP请求中的Host头不一致造成的。通过利用这种不一致性,攻击者只需要发送一个精心构造的HTTP请求,便可以实现污染ISP缓存(包括毒鱿鱼攻击), 污染CDN缓存,绕过防火墙,绕过WAF等攻击。这些攻击,特别是污染ISP缓存攻击,对互联网安全有重大影响,我们的大规模测量结果显示97%的ISP缓存用户都可以被我们发现的攻击影响。

    主题三:机器的崛起——拥抱自动化安全攻防时代的到来-张超

    演讲内容:针对软件和系统的攻防一直是网络空间战场的重要问题。顶级黑客和安全研究人员围绕攻击和防御的技术展开了长期的博弈。目前高级的攻击和防御技术都极大地依赖于研究人员的个人能力,制约了网络空间整体安全性的提升。为了探索解决这一问题,美国国防部DARPA于2013年发起了CGC网络超级挑战赛,鼓励参赛队伍搭建自动化决策系统,实现全自动地分析软件漏洞、攻击利用漏洞以及防御漏洞。这一项目取得了初步的成功,证实了自动化攻防的可能性,也展示了机器相比于人的优势。本次报告中张超博士将系统地介绍CGC自动化攻防竞赛的规则,竞赛的组织形式,各参赛队伍用到的代表性技术,并分享机器大战以及人机大战的结果。

    主题四:b1o0p的DEF CON CTF 2016记录-刘煜堃

    演讲内容:从队员视角介绍b1o0p(blue-lotus与0ops联队)参与DEF CON CTF 2016的情况。

    精彩内容不容错过!!赶快来学习吧!

    课程标签

    安全理论

    信安理论

    第二章:如何”黑”掉美国国家安全局(NSA)网站-陈建军
    第三章:Cyber Grand Challenge and CodeJitsu-张超
    第四章:b1o0p 的 DEF CON CTF 2016 记录-刘煜堃
    ×

    课程评价×

    课程与描述相符:非常满意

    课程内容的价值:非常满意

    老师讲解与表达:非常满意

    为了提供倍速播放、断点续看、学习时长记录等功能,推荐您使用Chrome、Firefox浏览器,点击下载 Chrome Firefox

    在线支付
    请在新打开的页面完成支付

    支付完成前请不要关闭本页面

    支付完成