《红队视角下的海外SRC猎场:战略、战术与突破》聚焦于如何以红队思维在竞争激烈的海外漏洞赏金市场中取得突破。报告提出从“打点式”漏洞挖掘转向“战役式”系统作战,通过情报驱动精准定位高价值目标。针对传统自动化工具的瓶颈,引入以AI Agent为核心的“人机协同”战术框架(MCP),并结合实战案例,展示了从资产发现到SSO控制、RCE获取的完整攻击链。报告强调,AI是效率倍增器,但人类专家仍是价值创造的核心,未来将向垂直安全大模型演进,实现更智能的自主攻防。
《低空防线:无人机通信协议模糊测试与系统安全研究新突破》聚焦于多旋翼无人机的通信协议安全与系统漏洞挖掘,提出了一套基于模糊测试的无人机安全研究框架。 剖析了无人机的软硬件架构,涵盖飞行控制系统、通信模块、传感器及操作系统(如RTOS与ROS),并揭示了多个关键安全漏洞,包括飞行姿态欺骗、BMS电池状态欺骗、GPS定位欺骗等,攻击者可借此误导地面控制站,导致无人机失控、迫降甚至坠毁。 在通信协议层面,重点分析了MAVLink协议的结构与漏洞,结合实际数据包案例,指出其在消息验证、身份鉴别等方面的安全隐患,并展示了告警欺骗、RTSP窃听等攻击手法。 针对上述问题,我们研究提出了一套系统的模糊测试方法,包括种子选择与变异策略设计,涵盖基础字段变异、结构破坏、遗传算法优化等高级技术,构建了高效的测试用例库,有效挖掘协议层未知漏洞。最终通过“终止飞行”“GPS欺骗”等实际漏洞演示,验证了该方法的有效性,为提升无人机系统安全性、构建低空防御体系提供了重要技术支撑。
《车联网漏洞挖掘方法及典型案例剖析》由格物实验室马良主讲,系统梳理智能网联汽车从钥匙、IVI、T-Box到充电桩的全链路攻击面:内存安全、命令注入、固件提取、API越权、无线中继等“老问题”在车内重现,2024-2025 Pwn2Own Automotive共暴露98个0-day,奖金222万美元,IVI与充电设施成重灾区。报告给出“以攻促防”实战套路——硬件拆焊、固件逆向、CAN重放、蓝牙嗅探、数字钥匙中继、云端APIfuzzing,并总结竞赛驱动的工具链与测试流程,助力主机厂在UN R155/R156合规背景下建立覆盖设计、生产、运营、OTA全生命周期的安全管理体系。
Dell Technologies has disclosed three critical vulnerabilities affecting Dell Storage Manager that could allow unauthenticated remote attackers to completely compromise storage systems. Dell Storage Manager versions prior to 2020 R1.21 are vulnerable to attacks that bypass authentication mechanisms entirely, enabling adversaries to gain full system access without valid credentials. The vulnerabilities, disclosed on October 24, […]
The post Dell Storage Manager Vulnerabilities Allow Full System Compromise appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.