好奇心与探索，追求极客精神的本质

小姐姐我深以为然。正如现场的参会者既有轻车熟路的老司机，也有年仅 13 岁的孩童，而且今年女性参会者的数量多到外国演讲嘉宾都惊讶和赞叹的程度。各路人马不分年龄，本着共同的爱好聚到一起，将与生俱来的探索精神发挥到极致。正如好奇的小姐姐原本到场也不算晚，结果却因为东看看西瞅瞅，硬生生排到了进主会场的队伍尾巴里。 

那么这一天下来，好奇小姐姐都有哪些收获呢？

不论是什么大会，大家最关注的还是干货部分，也就是行业大咖的主题演讲。在前瞻文章里我们介绍过，DEFCON CHINA 延续 DEFCON 的模式，议题审核都是由美方团队把关，所以这次的议题依然含金量满满，看到填得满满的会场就知道演讲有多受欢迎了。

主会场首日的议题主要有《用谷歌传播恶意软件》，两名演讲者 Fabian Cuchietti 和 Gonzalo sanchez 都来自西班牙，长期以红队身份从事互联网安全审计工作。谷歌虽然在安全方面一直比较可靠，但它的产品依然有可被利用的问题。例如，通过谷歌地球利用攻击软件逃避病毒检测，就能成为攻击载体最终逃避谷歌地球沙箱，最终实现谷歌会话劫持、远程代码执行（远程shell）以及利用 JavaScript 挖矿（门罗币）。两位演讲者还在现场进行了演示，不过由于网络等原因没能成功，所幸还有之前成功的视频可以看。他们说，有时候如果一直尝试却没得到理想结果的话，所幸就换一个工具、换一种思路。总之，hacking 也好，安全工作也好，重要的是最终目标。换个方法也是极客必备的创新和探索思维，最终能解决问题就好。

第二个议题《你上了我的账号》的思路可以说是另辟蹊径、别出心裁了。说到账号，一般我们想到的都是找到他人账号漏洞，获取他人账号权限。但在这个议题里，演讲者“呆子不开口”却说，就算我把我的账号给别人用，我也能找到办法攻击对方，这波操作就很满分了。当然，具体说来，这里面其实涉及到一些社会工程学的内容，可以诱导受害者登录别人的账号，获取一些攻击场景，并结合csrf、selfxss、oauth、sso的一些低危漏洞或特性，盗取登录凭证和第三方后门账号，最终实现窃取隐私、钓鱼攻击、盗取资源、冒用身份等攻击。在互联网中，也许你一不小心就会被诱导登录到攻击者的账号，具体有login csrf、Setcookie接口用于设置登录cookie、链接传递登陆凭证、二维码扫描登录、第三方授权登录（这种比较普遍）以及社会工程学等。攻击者通过内容读写、Selfxss读写等，可以获取到受害者在上网行为、手动输入、本域浏览器存储等多种过程中泄露的日志、记录、信用卡、登录凭证等敏感信息。针对这些情况，也有一些防范方法。首先，针对登录表单、换取凭证、退出登录等请求做好csrf防护和来源签名校验。其次，在页面中醒目显示登录用户名，引起用户警觉。最后，漏洞不分大小，只分有没有，一定要及时修复漏洞！