大土豆安全笔记 | 低调摆五毛钱的龙门阵
因为特别红的原因,许久没有出现,我也不敢瞎说话,加上前几天一直在北京逛逛吃吃,所以也没怎么学习新知识,就简单记下
今年的DEFCON议题出来了,我没有感兴趣的,各位有兴趣可以翻翻
- https://defcon.org/html/defcon-29/dc-29-speakers.html
CVE-2021-20226,Linux内核一个引用计数漏洞,我一直想搞这个方向的漏洞,就是缺了点推动力
- https://flattsecurity.medium.com/cve-2021-20226-a-reference-counting-bug-which-leads-to-local-privilege-escalation-in-io-uring-e946bd69177a
如果是搞安卓应用安全的同学,可以仔细看下这篇文章,我从这篇文章里学到了很多,我接下来会写几篇文章仔细讲讲关于三星的固件该如何进行对系统预置应用的自动化安全分析,还有一些漏洞模型该如何进行自动化的扫描
- https://blog.oversecured.com/Two-weeks-of-securing-Samsung-devices-Part-1/
泉哥对今年HITB部分议题的解析,感觉今年的议题没啥有意思的,是我研究方向的问题吗?
- https://mp.weixin.qq.com/s/5eC3oKLYthmVwzV3gR9ryQ
腾讯安全平台部分享的《安全左移理念,DevSecOps如何实践?》,果然大家的情况都是类似的,我之前也曾经参与过类似的工作,非常不好做,并且是早期踩坑阶段,我觉得最大的问题在于如何丝滑的将这套东西嵌到流程里面去,尽量少干预原先的流程,减少开发人员参与的成本
- https://www.freebuf.com/articles/security-management/275605.html
今年的ISC定在七月份的后面几天,我到时候找朋友要两张票去现场观摩学习一下,毕竟自己曾经也是工作人员,跟各位都是老熟人,但说实话自从数字和奇安信分家之后,两家各自搞的安全会议都没什么意思,会议太多了,分论坛太多了,Speaker不够用了,观众也不够用了
- https://isc.360.com/
今年好在准备的早,订到了国家会议中心,不然要是像前年匆匆忙忙定在六十公里外的雁栖湖,真别办了
我倒是想搞个议题去讲讲,就是手头的产出还是半成品,不知道能不能赶得上这一波热乎的