HITCON 2017 心得文

9 / 12, 2017 演討會

首先,我要先來感謝HITCON提供學生方案給我這個弱弱的小弟
嗚嗚嗚我對不起大會,對不起副召大大,心得文過了死線兩個禮拜才生出來

這是我第一次參加 HITCON 台灣駭客年會,接觸到一個新領域。
聽說今年也是 HITCON 嘗試使用電子 Badge 的第一年,小弟窮學生沒錢買 Badge,只好跟朋友借來玩
這 Badge 可以使用 BLE 通訊協定將字串寫入,而這個寫入的字串將會作為跑馬燈顯示在 Badge 上

<3, Photo Credit

這 Badge 同時也充當了 Mini Wargame 的題目,有興趣的可以上官方Repo看看:點我

我覺得這次最讓我印象最深刻的,就是橘子大大那場 「SSRF 的新紀元
在這場當中,Orange 大大分享了很多不同繞過內網資源存取的限制的方法,像是利用不同 Library 解析 URL 的格式不同,而產生的漏洞,詳情可以看Tiny URL Fuzzer
以及利用不同的通訊協議來構造攻擊者所需要的攻擊荷載,也就是所謂的Protocol Smuggling,常見的有利用 Gopher 來構造一個全新的TCP包

帥帥的🍊大大, Photo Credit

回去後,我也實際用了這場講到的弱點來 bypass Plurk 的網址預覽服務,不過比較可惜的是能力不足+不熟內網結構,因此不能進一步利用。

另外兩場同樣也讓我印象深刻的分別是兩位日本人帶來的「Automating vulnerability scanning with Vuls」及 AZ 大大所帶來的「看我如何搭配黑帽SEO玩轉網站排名流量」,沒辦法剩下的都太難了聽不懂,這兩場算是比較容易理解的,尤其是聽了 AZ 那場,不禁讓我想要對我自己的 About meCV 頁面幹這種事w,沒辦法,SEO真的太差了

今年比較可惜的點是 Lighting Talk 沒有報名額滿,沒有辦法聽到更多有趣的題材。

明年如果還有這個計畫的話,歡迎大家踴躍爭取機會喔!
偷偷說:這次的住宿地點很棒