演讲议题巡展｜自动化API漏洞Fuzz实战

原创 周阳&吕竭 KCon 黑客大会 2022-07-11 11:32

KCon 2022 演讲议题巡展火热进行中

接下来的一段时间

我们将陆续对议题亮点及演讲人进行展示

敬请关注

PS：议题展示顺序不分先后～为使 KCon 首届云端大会能为大家带来更好的体验，议程还在加紧制定中，请大家耐心等待官方通知～

IT’S SHOW TIME！

周阳、吕竭

周阳：星阑科技Portal Lab安全研发工程师

具有丰富的漏洞研究及红队武器化经验，历经主机漏洞扫描、应用漏洞扫描、开源软件供应链安全跟踪以及漏洞情报管理平台等多款产品建设，曾参与发现多个linux系统安全漏洞并收到工信部及其他部委致谢。目前专注于API安全研究以及自动化应用漏洞扫描方向。

吕竭
：星阑科技Portal Lab安全工程师

曾就职于某大型央企，在攻防演练、甲方安全建设方面具有丰富经验。目前专注于API漏洞挖掘与Fuzz工具设计方向，不断通过实战提升工具效果，上报数十个SRC API高危/严重漏洞，获得国内多个SRC月榜前十。

演讲人谈议题

在现代IT应用架构中，API通信如“血液”般承载了绝大多数的应用数据交换，并以每年60%以上的增速发展。在过去的数年中，API被入侵导致大量个人信息泄露的事件走入公众视线。

从企业漏洞风险角度以及红蓝对抗角度，传统Web Fuzz工具无法深入挖掘API风险，需要新的自动化手段加速API弱点的暴露过程。

本议题首先介绍API安全的问题产生的背景及攻击面，然后提出一种自动化API采集-解析-Fuzz的方法，针对API的协议复杂性、参数结构复杂性、请求序列依赖等问题给出自动化测试思路，并通过具体漏洞案例阐述API Fuzz过程。

小K：

KCon 2022互动交流群已成立，感兴趣的小伙伴可添加下方“小K”的微信二维码入群交流。

每周群内都会有各类福利活动等待大家，还有精美KCon周边相送，欢迎勾搭～

入群请发送口令：KCon 2022

第11届 KCon 黑客大会

2022.8.6-8.7 与您云端相会

点击阅读原文

浏览 KCon 官网