凯撒密码转换器(26字母密码暗号翻译表)

黑帽大会将于下周在拉斯维加斯举行，这是安全工具轮番上演的绝佳场所。同时，如果这些工具被坏人掌握，也可以沦为利用漏洞。

台上的研究人员通常会向在实验环境中操作的研究人员指出这些工具的价值，同时也向企业安全从业者展示工具在构建更强防御方面的能力。

将详细介绍各种漏洞利用工具。从HTTP到物联网到渗透测试的设备、协议、技术都是这些工具探索漏洞的目标。

以下是将在大会上发布的9款攻防工具:

1.HTTP/2 & amp；教好的协议去做坏事

演讲者:思科高级安全顾问卡尔·文森特和思科高级安全顾问凯瑟琳·皮尔斯

两位研究人员分析了HTTP/2和QUIC这两种用于多通道连接的Web协议。他们在这两个协议中发现的安全漏洞很容易让人联想到两年前他们在多通道TCP(MPTCP)协议中发现的熟悉感。当时他们发现漏洞是因为MPTCP会在会话过程中改变路径和终端，难以保证传输安全，容易被入侵。本讲座主要介绍QUIC和HTTP/2协议，描述除MPTCP之外的多路径攻击，讨论如何将这些技术应用于QUIC和HTTP/2，以及如何在您的网络上使用和保护H2/QUIC流量。他们还将发布包含这些技术的工具。

2.机器学习用于数据泄漏和其他有趣的主题

演讲者:布莱恩·华莱士，网络安全初创公司Cylance的高级安全研究员&马特·沃尔夫，Cylance的首席数据科学家&赵璇，Cylance的数据科学家

该团队将机器学习应用于安全数据，以帮助分析师确定当前网络是否面临真正的安全事件。如果缺乏对机器学习的了解，在分析问题时就会处于劣势。从演示中，团队将解决几个不同的安全相关问题，从想法到实用工具，包括机器学习的攻击和防御用例。他们计划发布研究中使用的所有工具、源代码和数据集。数据泄漏模糊处理工具，网络映射器，以及命令和控制面板识别模块也在他们的发布计划中。

g攻击蓝牙智能设备——蓝牙低功耗技术的新代理工具(BLE)

演讲者:Slavomir Jasek，SecuRing Security公司的IT安全顾问。

物联网中使用蓝牙低能耗技术的设备有很多，但是这些设备往往没有很好地利用这项技术的安全特性。不使用这些安全机制，或者因为应用场景而无法使用的设备数量惊人。而物联网设备与其控制器(如手机)之间的通信安全是通过更高级别的通用属性(GATT)配置文件来保护的。伪装成物联网设备来欺骗手机与之连接并建立中间人攻击(MITM)非常简单。有了主动拦截BLE通信的可能性，就很容易发动大量攻击。演讲中，Jasek将发布一款BLE MITM代理工具，为你开启一个物联网设备的开发、逆向、调试的新世界。

4.为渗透测试行动辩护:教材和工具中的漏洞

演讲者:Wesley McGrew，HORNE Cyber的网络运营总监

用于培训渗透测试人员的资料通常是公开的，这将导致客户数据和渗透测试过程本身缺乏保护和安全。一旦恶意行为者使用公共工具，他们就会想要攻击渗透测试人员。但就目前的做法来看，这些攻击确实容易得逞，危害极大。麦克格鲁将演示劫持测试人员渗透测试过程的技术，演示中使用的所有工具将同时发布。

5.把u盘扔到停车场之类的地方真的可行吗？

演讲者:波茨坦和柏林的艾弗里宫殿和公园，谷歌反欺诈和滥用研究负责人。

众所周知，扔在停车场的u盘肯定会被捡走，而且有很大的可能会被插到电脑里。在波茨坦和柏林的实验的宫殿和公园里，扔在停车场的300个u盘，98%被捡了起来，其中48%不仅插在电脑上，u盘上的文件也被打开读取。波茨坦的宫殿和公园以及柏林的演讲将分析人们捡起这些u盘的原因，并发布一种有助于减轻此类攻击的工具。

6.我是来埋炸弹的:审计压缩算法武器缓存

演讲嘉宾:老牌安全审计机构NCC集团高级安全顾问卡拉·玛丽。

解压缩炸弹攻击使用专门构建的压缩存档文件。一旦解压缩，就会缠住应用程序，导致程序崩溃。但是并不是所有的压缩算法都适合这种攻击。玛丽审核了大量的压缩算法，挑选出最适合解压炸弹攻击的算法，并在会上公布。研究人员可以测试应用程序对这种攻击的敏感度。

7.利用反序列化漏洞攻击您的Java消息传递

演讲者:马蒂亚斯·凯撒，代码白的漏洞研究主任

Java环境中的消息传递依赖于序列化，即把一个对象转换成一系列字节的过程。反序列化是将一个字节序列还原到一个对象。Java反序列化的利用一直在不断发展，使用Java消息传递的应用程序可能会受到这种攻击。凯撒将解释漏洞的实现，并发布Java消息漏洞工具，帮助用户发现和利用这些系统。

8.访问键会在你杀死密码之前杀死你。

演讲者:Raeuker Simon，NCC集团首席安全工程师

示例:访问Amazon Web Services (AWS)基础设施的密钥通常以纯文本形式存储，并在开发人员中广泛传播，这是一个很大的安全风险。这个漏洞本来可以通过多因素身份验证来弥补，但是有些用户可能会嫌麻烦而不去使用它。Simon将演示与验证方法无关的多因素身份验证(MFA)的应用，还将发布一个工具，让AWS帐户在被迫要求MFA时不那么痛苦。

9.视频转换器SSRF的致命视频漏洞

演讲者:Maxim安德雷耶夫，Mail.ru集团的软件开发人员和Nico Miskin，Mail.ru集团的信息安全分析师

免费的FFmpeg库催生了一波很大的多媒体格式转换工具，包括将主链转换成其他文件播放列表的工具。Andrew的演讲是为了展示如何使用服务器端请求伪造(SSRF)处理这些播放列表的过程。如果在基于云的服务器上使用SSRF，它可能会让攻击者完全访问服务，AWS、脸书、Telegram、微软Azure、Flickr、Twitter和Imgur等服务可能会失败。在会议上，两位演讲者将发布一个检测和利用这一漏洞的工具。

-

最新版微信，长按微信官方账号，可“置顶”