大会简介

PHDays（Positive Hack Days）,俄罗斯著名的黑客大会，内容涵盖硬件安全、WEB安全、移动安全、网络安全等诸多专业安全领域，并且会议期间设有CTF夺旗竞技赛。

今年会议主要围绕以下主题：关键信息系统的安全性、欺诈管理、网络犯罪和事故调查、维基解密时代的政府与企业安全、网络战和网络间谍。同时，还设有安全论坛，云计算和虚拟基础设施的保护，0day攻防、DDOS防御、工控安全、业务应用和通信网络安全。

议题分析

关于大会议题的在线视频参见：http://www.phdays.com/broadcast/

1、《Building Honeypots to Monitor DDoS》

作者通过搭建存在DDoS漏洞服务的网络蜜罐，从互联网中提取可视化信息，然后将数据反馈给ELK（Elasticsearch、Logstash、Kibana日志集中分析平台，为保护真实网络财产的系统提供数据支撑。据说，后面作者会开源一个网络管理系统，用于统计外部网络的一些反射DDoS攻击的数据。

2、《Waf.js：How to Protect Web Applications using JavaScript》

使用Javascript代码去防御DOM XSS、CSRF、点击劫持，以及其它攻击环境检测（Beef、Xbackdoor、Acunetix等等）的工具，与Server组使用js防御dom xss的思路类似，只是多了其它几项功能。文档下载：http://www.slideshare.net/DenisKolegov/wafjs-how-to-protect-web-applications-using-javascript

3、《Scalable and Effective Fuzzing of Google Chrome Browser》

介绍Google的分布式Fuzzing系统——CluterFuzz，采用集群服务器进行分布式Fuzzing，大概4000多台机器，不排除使用虚拟机的情况。议题介绍了一些Fuzz变异算法、漏洞类型识别、代码覆盖率问题、自动化精简样本，以及各种sanitizers功能的使用，比较常用的还是Address Sanitizer，且各平台通用。

4、《Web Application Firewall Bypassing》

总结绕过AWF的三大策略：

• 1、预处理利用：即设法绕过WAF的输入验证，比如HTTP头（X-Originating-IP、X-Forwarded-For、X-Remote-IP、X-Remote-Addr）的处理，就曾多次被用于绕过公司WAF的SQL注入防护，或者HTTP方法头GET/POST的篡改、换行符的处理等等方式；
• 2、致阻断失配：利用前后端数据处理的差异，使得无法匹配到黑名单里的规则，通常结合一些参数污染、字符编码、注释符等多种方式绕过；
• 3、规则集绕过：通过暴力枚举出WAF的拦截规则，或者逆向WAF程序获取规则，然后再设法绕过。

5、《Mobile Communications are Insecure. Evidence-Based Arguments》

由于当前移动通讯网络采用许多过旧技术，导致一些漏洞遗留其中，主要是针对SS7第7号信令系统的漏洞情况进行统计，其中主要三大威胁是：拒绝服务、信息泄露（比如短信、通话内容、IMEI、地理位置等等）、欺诈。并现场演示短信窃取，实现社交帐号的盗取，并成功获取历史聊天记录。

6、《Fingerprinting and Attacking a Healthcare Infrastructure》

作者分享了一些关于医疗设备攻击的思路，比如通过网络空间搜索引擎Shodan/Censys/Maltego去查找网络上的医疗设备，介绍如何通过设备指纹去查找医疗设备，目前很多医疗设备存在允许未授权的访问，特别容易导致敏感信息泄露，甚至允许远程操作医疗设备，可能影响到患者的健康问题，最后他提供一些针对医疗设备攻击的防御方案。