Enhancing Security in Third-Party Library Reuse -
Comprehensive Detection of 1-day Vulnerability
through Code Patch Analysis
https://www.ndss-symposium.org/wp-content/uploads/2025-576-paper.pdf
Comprehensive Detection of 1-day Vulnerability
through Code Patch Analysis
https://www.ndss-symposium.org/wp-content/uploads/2025-576-paper.pdf
All You Need Is MCP - LLMs Solving a DEF CON CTF Finals Challenge
https://wilgibbs.com/blog/defcon-finals-mcp/
https://wilgibbs.com/blog/defcon-finals-mcp/
Wil Gibbs
All You Need Is MCP - LLMs Solving a DEF CON CTF Finals Challenge
DEF CON CTF Every year world-class teams play difficult CTFs such as Plaid CTF and HITCON CTF in an attempt to qualify for DEF CON CTF by getting first place. There are usually only 3-4 CTFs a year designated as pre-qualifying events. DEF CON CTF also has…
👍3
Alaid TechThread
US_25_Dolan_Gavitt_AI_Agents_for_Offsec_with_Zero_False_Positives.pdf
Про наработки нашей команды (Professional Security Agents) в области автономных атакующих систем расскажем в конце первого дня конференции OFFZONE.
- Посмотрим на эволюционный путь сканеров безопасности за последние 30 лет до наших дней. Проведем краткий разбор ключевых исследований 2025 года.
- Поделимся нашим видением, стратегией развития и подходами к разработке мультиагентных систем.
- Обязательно принесем и продемонстрируем кейсы реальных уязвимостей, найденных нашим решением.
- Расскажем о том, как подходим к тестированию и оценке качества работы агентов. Поделимся используемыми бенчмарками и текущими результатами на них.
Также мы ищем желающих принять участие в состязании полностью автономных систем в формате CTF. Пишите в ЛС или ищите на конференции, если готовы принять вызов.
#ProSecA@offensive_thread
- Посмотрим на эволюционный путь сканеров безопасности за последние 30 лет до наших дней. Проведем краткий разбор ключевых исследований 2025 года.
- Поделимся нашим видением, стратегией развития и подходами к разработке мультиагентных систем.
- Обязательно принесем и продемонстрируем кейсы реальных уязвимостей, найденных нашим решением.
- Расскажем о том, как подходим к тестированию и оценке качества работы агентов. Поделимся используемыми бенчмарками и текущими результатами на них.
Также мы ищем желающих принять участие в состязании полностью автономных систем в формате CTF. Пишите в ЛС или ищите на конференции, если готовы принять вызов.
#ProSecA@offensive_thread
👍6
US-25-ZyuzinPeng-ThinkingOutsideOfSink-6August.pdf
48.1 MB
Применение LLM в статическом анализе на Black Hat 2025
Также еще один интересный по описанию доклад пока без слайдов: Let LLM Learn: When Your Static Analyzer Actually 'Gets It'
Также еще один интересный по описанию доклад пока без слайдов: Let LLM Learn: When Your Static Analyzer Actually 'Gets It'
11🔥2
ОFFZONE_2025_final.pdf
5 MB
Презентация с нашего выступления
https://offzone.moscow/program/pentest-by-a-click-it-s-already-real/
#offzone #ProSecA@offensive_thread
https://offzone.moscow/program/pentest-by-a-click-it-s-already-real/
#offzone #ProSecA@offensive_thread
🔥17
Alaid TechThread
ОFFZONE_2025_final.pdf
Media is too big
VIEW IN TELEGRAM
Видео с выступления. Тут демо генерации эксплоита под задачи из OWASP Juice Shop
🔥5
Sinkpoint-focused Directed Fuzzing
представлен подход Team Atlanta к улучшению фаззинг-тестирования Java-кода с помощью направленного («directed») фаззинга на основе Jazzer.
– Вместо классического подхода, который слепо покрывает код, они фокусируются на «sinkpoint» — уязвимых местах, таких как вызов java.sql.Statement для SQL-инъекций. Используется CodeQL.
– Сначала статический анализ выявляет эти sink’и и оценивает расстояния до них, затем модифицированный Jazzer рассчитывает CFG и направляет процесса фаззинга к выявленной локации.
– Исследование показало, что на сложных кодовых структурах (например, ActiveMQVar), где традиционный fuzzing теряется, directed fuzzing достигает sink-точек гораздо быстрее и обнаруживает все уязвимые места в ограниченное время в рамках эксперимента время.
https://team-atlanta.github.io/blog/post-crs-java-directed-jazzer/
представлен подход Team Atlanta к улучшению фаззинг-тестирования Java-кода с помощью направленного («directed») фаззинга на основе Jazzer.
– Вместо классического подхода, который слепо покрывает код, они фокусируются на «sinkpoint» — уязвимых местах, таких как вызов java.sql.Statement для SQL-инъекций. Используется CodeQL.
– Сначала статический анализ выявляет эти sink’и и оценивает расстояния до них, затем модифицированный Jazzer рассчитывает CFG и направляет процесса фаззинга к выявленной локации.
– Исследование показало, что на сложных кодовых структурах (например, ActiveMQVar), где традиционный fuzzing теряется, directed fuzzing достигает sink-точек гораздо быстрее и обнаруживает все уязвимые места в ограниченное время в рамках эксперимента время.
https://team-atlanta.github.io/blog/post-crs-java-directed-jazzer/
team-atlanta.github.io
Sinkpoint-focused Directed Fuzzing
Guiding Jazzer towards critical code locations
👍3
NASS: Fuzzing All Native Android System Services with Interface Awareness and Coverage
https://www.usenix.org/system/files/usenixsecurity25-mao.pdf
https://www.usenix.org/system/files/usenixsecurity25-mao.pdf
BGA: Self-Evolving Exploits Through Multi-Agent AI
https://team-atlanta.github.io/blog/post-mlla-bga/
https://team-atlanta.github.io/blog/post-mlla-bga/
team-atlanta.github.io
BGA: Self-Evolving Exploits Through Multi-Agent AI
How BGA's multi-agent AI framework creates self-evolving exploits that adapt and improve through coverage feedback - discovering 7 critical vulnerabilities through intelligent iteration
Finding vulnerabilities in modern web apps using Claude Code and OpenAI Codex
https://semgrep.dev/blog/2025/finding-vulnerabilities-in-modern-web-apps-using-claude-code-and-openai-codex/
https://semgrep.dev/blog/2025/finding-vulnerabilities-in-modern-web-apps-using-claude-code-and-openai-codex/
Semgrep
Finding vulnerabilities in modern web apps using Claude Code and OpenAI Codex
Our deep dive into AI Coding Agents capabilities for finding security vulnerabilities reveals surprising strengths, critical weaknesses, and a serious problem with consistency.
🔥1