说到798你会想到什么?艺术?画展?摄影?
牛妹本身并不艺术,但热爱艺术。五年前的第一次帝都798之旅就被它强大的艺术氛围深深吸引住了。
五年后的今天,换个身份,再次旧地重游,心情和第一次完全不同。带着一点小忐忑,带着一点小兴奋,带着一点小神秘,来到了这个“白帽黑客”聚集地。360补天漏洞平台将第一场“白帽技术沙龙”启动活动选择在798 at cafe – 一个充满艺术格调的咖啡厅。艺术源于生活,生活越来越依附与网络,网络也随之艺术化,那么白帽黑客当然就是这潮流中的主力军啦。这些神秘的白帽黑客们赋予了“798”二重身份–白帽艺术区。
活动1点30开始入场,跟着几个着黑色T血背着双肩包的男孩一起上到咖啡厅3楼(我相信我跟对了队伍,简单T恤加双肩背,在我脑海中这应该是IT男的标配)。入场签到,每个人会发放不同颜色的手环,每个颜色代表不同的特性,比如黑白色是官方,红色是媒体…每个人都佩戴手环入场,聚在一起,感觉充满了一种精神和力量。
活动是由一个小游戏“平板支撑”开始,坚持到最后的可以得到360的充电宝一个。我想“平板支撑”对于一般人来说3分钟已经算是极限了,旁边的姑娘唏嘘说自己30秒都坚持不了。再看看这些小伙子们……6分钟的时候,台上还剩3个人,主持人开玩笑说“撑不住就放弃吧,就充电宝而已,没必要难为自己”。但是大家还是努力坚持到最后一秒,这些小伙子们不认输,不放弃的态度让我由衷感动。最终一等奖交给了坚持了10多分钟的一个白帽。我想这就是白帽精神“越挑战越刺激,越困难越坚持”。
技术交流正式开始。第一个出场的是安全盒子团队SecBox Team的创始人王松_Striker,从黑客的视角深入浅出地展开了他的议题《内网渗透中“进击的巨人”——SSRF》。
他认为,在当前的信息安全领域,安全人员的大部分注意力仍然集中于如何防范那些来自网络外部的恶意攻击,但是忽略了黑客攻击的核心目标是窃取企业数据,对此他着重分析了内网渗透中“进击的巨人”——SSRF是如何危害企业网络的安全问题。
360 vulcan Team安全团队成员古河,在《二进制漏洞挖掘狗的日常》的议题里分享了二进制漏洞挖掘相关的工作内容、方式、方法,以及团队在参加全球闻名的黑客大赛pwn2own中的准备工作、花絮以及收获,让在座的白帽子们大开眼界。
压轴分享的是在安全行业极具盛名的Mickey,他的议题《渗透测试技巧详解》极具含金量,分享了他在渗透测试中所总结的必备基础知识与高级技巧,阐述了如何利用逆向思维和黑客工具进行本地提权;如何进行网络信息收集、过滤与甄别“low hanging fruit”;如何从不入域的Linux主机到内网域控的高级渗透技巧,获得了在场白帽子的一致好评。
除了技术分享之外,穿插在沙龙中“黑客小游戏”也调动着白帽们的热情。
本次活动方补天漏洞响应平台的负责人白健介绍到,补天平台作为白帽子和厂商之间的公益性平台,一直立志实现厂商与白帽子之间的共赢。今后补天将会通过这种形式,给白帽子提供更多的交流机会。白建说:“我们已经开始筹划下一期上海站的沙龙了,相继也会在更多城市开展这样的白帽沙龙活动,最终还会回来,回到这里,因为我们要永远不忘初心。”
活动结束,走在798艺术工厂的路上,看着街边的艺术雕塑,回想着那些年轻又略带羞涩的白帽们。想着属于他们的艺术,也许并不需要鲜亮的色彩,抽象的展示,他们的艺术就在敲打键盘的字符中、编写的代码中。寻找一个漏洞,修补一个漏洞,这就是一件完美的艺术品,而且足矣让他为之自傲,拿来展示和分享。如同“网络艺术工厂”一样, 将这些白帽艺术品,展示分享其中。