前言
去年的 DEVCORE CONFERENCE 2025 我也有參加,但當時忘記寫心得了,這次就來好好寫一下吧!
去年我感覺自己有很多的議程沒有到聽得很懂,但今年我的實力應該提升了不少,所以聽起來也更有感覺了
現在就來回顧今年的內容ㄅ
贈品
- 衣服
- 資料夾
- 便利貼
- 原子筆
- 開瓶器
- 幸運籤餅
活動
這次活動有分為兩個
- 幸運籤餅
- 抽中再來一瓶的人可以再拿一罐啤酒
- Wargame
- 是一個滲透測試的遊戲,主要是要讀到 Flag
非常幸運的,我都有拿到xD
議程
紅隊的 AI 視界:攻防演練中的 LLM
主要是透過一些攻防演練的案例,來說明現在企業在有了自己的 LLM 後會遇到的問題
以及一些攻防的手法,還有一些對策的建議
其實最主要就是 可能相較傳統的 Web 弱點,企業在 LLM 的防護上會比較多
但最後可能還是會被攻破,因為可能專注在防護 prompt injection 等 LLM 的攻擊
而忽略了其他的攻擊面,像是一些傳統的 Web 弱點,以及一些 LLM 周邊的服務等等。
什麼!原來連 Wi-Fi 不需要密碼!?
這場其實沒有聽得很懂..但任意 Data Frame Injection 還是挺有趣的
改天可以來研究xD
Beyond CoGUI: Exposing the FishingMaster PhaaS Ecosystem Behind Global Phishing Campaigns
簡單來說就是一個釣魚平台一直轉生的故事
然後對於平台分析的部分也挺好笑的
雖然當事人一直在改平台的名字,但其實平台的架構都沒有很大的改變,還是同一個平台在轉生
而且講者也有在關注地下社群的近況
使得整個演講的內容蠻有趣的
根源性惡魔:Hack the package registries
這場是有 👁️ 來分享他的研究
主要是在說,如果 package registries 被攻陷,那基本上整個供應鏈就會有問題
所以他就針對一些 package registries 進行了一些攻擊的測試,然後發現了一些問題
最後也有一些建議,就是對於 Developer 來說,可能要注意 package source 不能夠全部相信
也對於 Researcher 來說,可以關注一下 package registries 的安全問題。
獵捕到偵測的最後一哩路
這場其實沒有聽得很懂..可能就是關於 EDR 的一些內容
但沒有到很感興趣就沒認真聽xD
列印復仇:如何在 Pwn2Own 2025 Ireland 打下 Canon 印表機
這場是由 TwinkleStar03 來分享他在 Pwn2Own 2025 Ireland 的經驗
主要是他接到了前人的衣缽來打 Canon 的印表機
然後接下來就是在前人的研究以及自己的研究下,成功的打下來了。
然後他也有分享一些有趣的經驗,像是科克的食物,然後科學的盡頭是玄學
這大概是整個 Conference 最有趣的一場了xD
Turning Browser Features into Exploits
這場是由 Huli 來分享他在 Browser 上看到的一些有趣的 features
最有趣的地方是,Chromium Team 對於有一些 features 是表達不會更動或修復的,但有些卻修復了。
還有一些語言 features 也挺有趣的,像是 JS 的一些 features 也有被分享到,挺有趣的。
Playing Cat and Mouse with WAF: the React2Shell Vercel CTF
這場是由 Ginoah & Maple3142 來講他們在 Vercel Bounty 上的一些經驗。
主要是一開始 Maple 出了 React2Shell 的 PoC
比揭露的人還更早,隨後 Vercel WAF 出了 Bounty 後
就開始了貓捉老鼠的遊戲
繞過一次 WAF 的 unique bug 可以拿到 USD$50000
最後他們繞過了 10 次,但撞洞 4 個,所以拿到了 USD$300000,真的很厲害
而且也分享了他們的 exploit 的細節,然後也從中學習到了一些繞 WAF 的技巧,超強的。