![[oreilly]红队和 Bug 赏金会议 | Red Team and Bug Bounty Conference](https://www.feifeiziyuan.com/wp-content/uploads/2023/11/1699145813-78805a221a988e7-300x200.webp)
红队和 Bug 赏金会议
Red Team and Bug Bounty Conference
加入网络安全行业专家 Jason Haddix、Jeff Foley 和 Sandra Stibbards 与 Omar Santos 的对话
- 网络安全行业专家和创始人的独家见解:本次会议提供了一个独特的机会,可以直接聆听该领域使用的尖端工具和技术背后的思想。与会者将向 OWASP Amass 项目的创始人、对抗性侦察方面经验丰富的专业人士以及其他专家学习。
- 现场演示和实践经验:红队漏洞赏金会议非常重视实际的实践经验。与会者不仅将了解对抗性侦察、攻击面映射和开源情报的理论知识,还将看到这些技术的现场演示,并在受控实验室环境 WebSploit 中进行实践。
- 互动问答:每次演讲结束后参加互动问答环节,为与会者提供提问、分享见解和参与热烈讨论的机会。
欢迎参加红队漏洞赏金会议,这是一场独家虚拟会议,重点关注网络安全和道德黑客中使用的尖端工具、策略和技术。这个时长 3 小时的峰会提供了行业专家的丰富见解和实践经验,可使用红队方法提升您的技能,演讲者将通过模拟恶意攻击者来指导您识别真正存在的漏洞、弱点和潜在切入点。攻击者可以利用。每个部分都从行业专家探索特定的 Bug Bounty 工具或方法开始,然后是以研讨会方式教授的现场演示,您可以观看或跟随。每个部分都以问答结束,演示将被分解,您可以提出问题。
行业专家、作家兼培训师奥马尔·桑托斯 (Omar Santos) 将指导对话并分享见解。部分包括:
- 经验丰富的专业人士 Jason Haddix 的《对抗性侦察》深入探讨了对手、红队成员和漏洞赏金猎人在侦察阶段使用的工具和策略。您将获得各种工具的现场演练,这使其成为攻击性安全、道德黑客和错误赏金(错误狩猎)领域的任何人都必须参加的活动。
- 与Amass 项目创始人 Jeff Foley 一起探索攻击面映射和 OWASP Amass 项目的未来,将让我们了解该项目的未来方向及其在推进道德黑客和网络安全方面的巨大潜力。
- 黑客开源情报:与 Sandra Stibbards 一起揭开开源情报的力量,随后提供了一段穿越开源情报世界的激动人心的旅程,其中包括有关利用公共数据源实现进攻性安全的实践演示和讨论。
红队漏洞赏金大会是网络安全爱好者、道德黑客、漏洞赏金猎人、红队成员和 IT 专业人士齐聚一堂、学习、分享和塑造进攻性网络安全未来的独特机会。加入我们,在道德黑客世界中获得身临其境的动态体验!
您将学到什么以及如何应用它
- 如何掌握对抗性侦察:了解对手、红队成员和漏洞赏金猎人在侦察过程中使用的工具和技术。
- 如何进行攻击面映射:了解攻击面映射在识别潜在漏洞方面的重要性和应用。
- 如何利用 OWASP Amass 项目:深入了解 Amass 项目的功能和未来方向,这是道德黑客的关键工具。
- 如何释放 OSINT 的力量:了解如何在网络安全工作中有效收集、分析和使用开源情报 (OSINT)。
您将能够:
- 使用讨论的工具和技术对目标组织进行彻底有效的侦察。
- 利用 OWASP Amass 项目来规划和了解您组织的攻击面并识别潜在的漏洞。
- 应用开源情报 (OSINT) 方法来收集、分析和使用公共信息,以更好地识别和缓解威胁。
- 将学到的概念集成到您现有的安全工作流程中,最终增强您组织的整体网络安全态势。
这个现场活动适合您,因为……
- 您是一名活跃的或有抱负的错误赏金猎人。无论您是资深的错误赏金猎人还是希望进入该领域的新人,本次会议都将提供必要的知识和实用技能,以增强您的错误狩猎能力。
- 您想在进攻性安全技术方面表现出色。如果您的目标是在对抗性侦察、攻击面映射和利用开源情报方面表现出色(所有这些对于有效的漏洞赏金狩猎都至关重要),那么本次会议是一个理想的学习机会。
- 您的目标是向行业领导者学习。该会议汇集了网络安全领域的创始人和领导者,提供有助于提升漏洞奖励策略的见解和专业知识。
- 您希望与由漏洞赏金猎人、网络安全专业人员和道德黑客组成的社区互动,在未来的漏洞赏金活动中实现知识共享、协作和潜在的合作伙伴关系。
先决条件
- 了解基本的网络安全概念和术语。了解不同类型的网络威胁、威胁向量以及网络攻击的各个阶段等领域的知识可能是有益的。
- 熟悉 IT 和网络概念。与会者应该熟悉一般 IT 和网络概念。这包括了解网络协议、服务器-客户端架构、网络技术和互联网的功能。
- 有 Linux 命令行使用经验。鉴于讨论和演示的许多工具将基于命令行,与会者将受益于使用命令行界面的先前经验。
- 即使您是一个对网络安全有浓厚兴趣并愿意学习的初学者,本次会议仍然可以提供进攻性安全技术方面的宝贵见解和基础技能。
课程设置
- 您可以在Omar Santos 创建的WebSploit Labs学习环境中跟随演示进行操作。
推荐准备
- 观看:完整的网络安全训练营,第二版,作者:Omar Santos
- 阅读:CompTIA PenTest+ PT0-002 证书指南,第二版,作者:Omar Santos
建议跟进
- 观看:奥马尔·桑托斯的《黑客艺术》(视频集)
- 实践:Omar 和 Derek Santos 的道德黑客实验室
日程
时间范围只是估计值,可能会根据课程进展情况而有所不同。
奥马尔·桑托斯:欢迎和介绍(10 分钟)
贾森·哈迪克斯:对抗性侦察(30 分钟)
本部分将深入探讨对手、红队成员和漏洞赏金猎人的世界,并介绍用于对目标进行广泛侦察的常见战术、技术和程序 (TTP)。研讨会将使用现场演示进行教学,并将在现场目标上进行,所以请系好安全带!对于进攻性安全领域的任何人来说,这个研讨会都是必看的。
- 探索针对组织及其人员时使用的 TTP。
- 了解电子邮件获取、技术分析、外部攻击面等。
- 在现场实践实验室中查看侦察网络杀伤链中的常用工具以及提示和技巧。
Jason Haddix是世界一流的对手模拟咨询公司 BuddoBot 的 CISO 和“黑客负责人”。他在网络安全领域拥有 15 年的杰出职业生涯,曾担任 Ubisoft 的 CISO、Bugcrowd 的信任/安全/运营主管、HP 的渗透测试总监以及 Redspin 的首席渗透测试员。Jason 还撰写了许多关于进攻性安全方法的演讲,包括在 DEF CON、Black Hat、OWASP、RSA、Nullcon、SANS、IANS、BruCon、Toorcon 等上发表演讲。在 X / Twitter @jhaddix 上找到他
奥马尔和杰森讨论 + 问答(15 分钟)
休息– 10 分钟
Jeff Foley:探索攻击面映射和 OWASP Amass 项目的未来(30 分钟)
与该项目创始人 Jeff Foley 一起探索 Amass 项目的未来方向及其推动道德黑客和网络安全领域发展的潜力。Amass 是一款尖端的开源情报收集引擎,旨在帮助网络安全专业人员发现并绘制其组织在互联网上暴露的攻击面。本节将探讨
- 如何利用这项技术来帮助组织识别潜在的漏洞并降低风险。
- 攻击面映射(识别攻击者可用来渗透目标组织的所有入口点的过程)如何使安全程序能够主动识别和解决其安全态势中的潜在弱点。
- 通过攻击面映射演示进行学习,突出其特性和功能,并讨论如何将其集成到现有安全工作流程中。
Jeff Foley于 2001 年至 2017 年在美国空军研究实验室担任承包商,专门从事网络战研究和能力工程。他还是诺斯罗普·格鲁曼公司进攻性网络战研究与开发的主题专家和渗透测试总监。杰夫开发了渗透测试培训课程,并教导培训师在整个国际组织中使用这些材料。在从事该行业期间,他还在多个学术机构就攻击性安全和渗透测试主题进行教学和演讲。在 X / Twitter @jeff_foley 上找到他
奥马尔和杰夫讨论 + 问答(15 分钟)
休息– 10 分钟
Sandra Stibbards:针对黑客的 OSINT:揭示开源情报的力量(30 分钟)
在不断发展的数字环境中,信息是释放新可能性和机遇的关键。开源情报 (OSINT) 已成为黑客和网络安全爱好者的宝贵工具,提供了大量公开可用的信息,以增强他们的理解和利用潜在的漏洞。加入我们,观看沉浸式演示,深入了解黑客的 OSINT 世界,探索其功能、方法和实际应用。本节将
- 探索 OSINT 的现实概念及其在侦察中的作用以及如何定位和利用漏洞
- 发现广泛的 OSINT 来源,包括社交媒体平台、可公开访问的数据库和在线论坛
- 通过实践练习教授如何有效收集、分析和利用公开信息,以在网络安全工作中获得优势
- 将 OSINT 技术应用于受控环境
桑德拉·斯蒂巴兹 (Sandra Stibbards)曾担任私家侦探,并拥有卡米洛特调查公司 (Camelot Investigations)。她专门从事金融欺诈调查、竞争情报、反情报、商业和企业间谍活动、社会工程等领域,是一位在国内外工作过的调查专家。在 X / Twitter @camelotinv 上找到她
奥马尔和桑德拉讨论 + 问答(15 分钟)
课堂问答(15 分钟)
评论(0)