2017php年夜会视频技巧_看雪学院将举办安然开拓者峰会有这11个安然议题

文章目录 [+]

安全问题已不容忽略，对企业卖力人或研发职员而言，安全事件频发无疑是一场灾害。
而办理安全问题的根本在于做到安全开拓。
安全设计应在一开始就作为项目开拓的一部分来考虑，列入项目操持和开拓本钱中，并在保护强度、本钱、易用性之间进行折衷考虑，选择一个得当的平衡点。

基于此，看雪学院将于11月18日在北京举行2017《安全开拓者峰会》,峰会聚焦“安全开拓”，旨在以“防”为基准，安全开拓为主旨，勾引广大企业和开拓者关注移动、智能设备、物联网等领域的安全，提高开拓和安全技巧，创造出更安全的产品。

2017php年夜会视频技巧_看雪学院将举办安然开拓者峰会有这11个安然议题

会议韶光：2017年11月18号

（图片来自网络侵删）

会议地点：北京朝阳区悠唐皇冠假日酒店

峰会高朋

段钢：看雪科技创始人及CEO，海内内信息安全领域具有广泛有名度和影响力的安全网站看雪学院(www.kanxue.com)的创始人和运营管理者，信息安全领域的有名作者，所著图书多次获奖。
长期致力于信息安全技能研究，对当前安全技能的发展有深入思考。
2016年创建上海看雪科技有限公司，致力于PC、移动、物联网安全研究及逆向工程干系的发展，为企业供应智能设备的安全测试等产品和做事。

王军：中国信息安全测评中央总工程师

谈剑峰：现任上海市信息安全行业协会会长，中国中小企业协会副会长，全国信息安全标准化技能委员会委员。
上海众人网络安全技能有限公司（简称：众人科技）创始人、董事长，是信息安全领域的资深专家。
中国网络信息安全家当新一代领军人物。

谭晓生：360公司CTO兼VP、CPO（首席隐私官），前myspace中国CTO。
现任奇虎360副总裁兼首席隐私官（CPO ），卖力公司网站技能、技能运维、数据剖析与挖掘等事情。

季昕华：中国首代黑客代表人物，UCloud创始人之一，现任UCloud首席实行官。

潘柱廷：北京启明星辰信息技能有限公司首席计策官，紧张卖力公司技能部门管理及公司经营计策的方案。

马杰：百度安全奇迹部总经理，原安全宝创始人兼CEO，亚州反病毒研究者组织（AVAR）理事。

龚蔚：ID Goodwell，中国黑客教父，早期十大黑客之一，绿色兵团创始人，COG发起人，1999年创立了上海绿盟信息技能有限公司。
先任WiFi万能钥匙CSO。

TK（于旸）：江湖外号妇科圣手，腾讯玄武实验室掌门人，安全焦点核心成员，环球最为有名的几位白帽子之一，对 Windows 操作系统漏洞方面研究非常深入。

陈彪：现任梆梆安全CTO。
曾任职于Intel、Sun等国际有名公司，专注于虚拟机、移动运用保护等领域，得到多项环球和国家发明专利。

高春辉：ID Polo 高，DOS 时期的 Cracker，中国个人站长第一人，成功创办过手机之家、ECShop、IPIP.net 等项目，连续创业的互联网老将，被圈内誉为中国互联网活化石。

韩争光（TB）：上海犇众信息技能有限公司创始人 & CEO，国际顶级安全团队盘古核心。

董志强：“七剑”之一的腾讯云鼎实验室掌门人 Killer 。

袁仁广（袁哥）：腾讯湛泸实验室袁哥，2008北京奥运会特聘信息安全专家，中国国家信息安全漏洞库特聘专家。

段海新：清华大学网络科学与网络空间研究院，网络与信息安全实验室主任。

彭瀛：爱加密的创始人及董事长。

谭万里：硬土壳安全创始人，新安全生态实践者

范俊伟：几维安全联合创始人、CEO

陆麟：ID：lu0，早期十大黑客之一，Windows 内核专家，驱动专家。

杨冀龙：ID老杨，早期十大黑客之一，安全焦点创始人，《网络渗透技能》作者，知道创宇公司副总、CTO，著名安全组织XFOCUS的核心成员。

峰会日程

演讲者及议题先容

议题1：业务安全发展趋势及对安全研发的寻衅

议题概要：

业务安全在2012年之前还只因此阿里、腾讯及携程等为主的局部沙场，近些年随着垂直电商、社交、移动游戏和O2O等领域的快速发展，业务安全及反敲诈被更多的视线关注，但多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起发展，面对黑产的攻击会一时无措。
作为防守方，除了对抗技能外，也要增强对黑产的认知，理解当前在一些业务核心问题上的对抗阶段和思路。

从我们打仗的多个案例表明多数甲方在业务安全及反敲诈上很被动的紧张缘故原由是缺少对黑产的认知，这个议题会从海内业务安全发展过程来帮助甲方研发梳理业务安全对抗思路并对当前紧张的一些风险场景详细解释。

演讲高朋先容：

毕裕，威胁猎人创始人兼CEO。
曾任职于腾讯和猎豹移动，2011年起卖力腾讯干系黑产研究及对抗。
2015年起在台北卖力猎豹移动外洋安全团队，卖力外洋移动安全的干系家当链研究及打击。
2016年与团队创业，专注互联网黑产研究及业务安全防护。

议题2：java json 反序列化之殇

议题概要：

随着REST API的盛行，JSON的利用也越来越多，但是个中存在的安全问题却不容忽略，特殊是由于反序列化导致的远程代码实行更是威力十足。
在这次演讲中，紧张阐述java json库的反序列化特性导致的RCE。
首先会先容Gson，Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作，接着剖析其安全机制，从其安全机制上创造哪些潜在的安全漏洞。
然后会公布一些未公开的反序列化的的payload（以Fastjson举例解释），当然也可能包括0day，并且会对这些payload分类解读，从field类型，property类型的触发机制加以概括归纳。
末了会从开拓，运维的角度来防御这类安全问题。

本议题可以让更多的开拓者理解Java反序列化漏洞，做好安全编码，做好安全防护，减少被黑客骚扰的机会。

演讲高朋先容：

廖新喜(xxlegend)，绿盟科技网络安全攻防实验室安全研究员，善于代码审计，Web漏洞挖掘，拥有丰富的代码审计履历，曾在Pycon 2015 China大会上分享Python安全编码。
安全行业从业六年，做过三年开拓，先后担当绿盟科技极光扫描器的开拓和开拓代表，目前专注于Web漏洞挖掘，Java反序列化漏洞挖掘，给RedHat，Amazon提交多份漏洞报告。
2016年网络安全周接管央视专访。

议题3：一石多鸟——击溃全线移动平台浏览器

议题概要：

浏览器早已成为我们日常生活中不可或缺的一部分，这种攻击可以造成大范围的用户信息透露，不仅局限于网站上手机上填写的姓名电话、信用卡银行卡等用户根本信息，更包括了我们日常生活中频繁利用的淘宝购物，“扫一扫”、“"大众号”、“小程序”、共享单车H5、饿了么H5等等贴近生活的一线App，所有App均不同程度的利用了某种Webview的实现。
一旦被意图不轨者节制并利用，后果非常严重。
针对运用层的攻击频次频年增长，攻击办法更加多元，而越来越多企业的业务又依赖互联网来实现，防止运用层安全失落守成为企业不可回避的问题，做好运用层安全也成为厂商和企业不可或缺乃至不可推脱的任务。

演讲高朋先容：

Roysue，看雪iOS板块版主，iOS独立安全研究员，《iOS黑客养成条记：数据挖掘与提权根本》电子工业出版社今年11月出版，《JavaScript内核逆向与爆破指南》正在撰写中。

议题4：Flash 之殇 - 漏洞之王 Flash Player 的末路

议题概要：

Flash Player 作为最受欢迎的多媒体软件，一贯以来都受到大众的软件，遥想当年的闪客精灵时期，何其风光。
自从Flash Player 荣登\"大众漏洞之王\"大众的宝座之后，Flash 就成了\公众千夫所指\"大众的工具，本议题就以Flash player为题，为大家带来Flash Player漏洞利用史，展现Flash 漏洞利用技能和攻防对抗技巧。

演讲高朋先容：

仙果，十年以上的网络安全从业履历，致力于网络攻防对抗技能研究，专注软件漏洞的剖析与利用，看雪论坛二进制漏洞版主。

议题5：一种以IOT漏洞对抗IOT僵尸网络的方法

议题概要：

由于安全机制的缺失落，现有的iot设备每每存在较多安全问题。

其余现网中有大量OEM设备，当IOT设备的安全问题被创造后，这些OEM的IOT设备的安全补丁每每得不到厂家及时开拓。

其余由于用户安全意识不足，IOT设备的安全补丁也没有得到用户的及时更新。

这些问题使得大量的IOT设备已经被僵尸网络所掌握。

在对抗僵尸网络的过程中，人们采取的方法较多的是进行流量洗濯和关闭c&c做事器的方法。

但是这些方法并不能有效地帮助有问题的IOT设备避免受到僵尸网络的下一次掌握。

如何在大规模僵尸网络发动攻击前，快速主动地修复被僵尸网络掌握的IOT设备安全漏洞，从而削弱僵尸网络的毁坏能力?

演讲者提出了一种以IOT漏洞对抗IOT僵尸网络的方法。

演讲高朋先容：

王启泽，看雪ID(ggggwwww)，启明星辰ADLab（积极防御实验室）安全研究员&看雪智能硬件小组成员。
他所研究的领域涵盖移动通信安全、IOT安全，曾在移动通信安全领域有15年的事情履历。

议题6： Windows 10新子系统新寻衅

议题概要：

本演讲课题讲述Windows10系统因对Linux系统的支持所带来改变以及伴随而来的安全寻衅。

演讲高朋先容：

陆麟，中国最老的十大黑客之一，Windows系统内核专家！
原NEC中科院软件研究所专家。
现任上海高重信息科技有限公司CIO。
长期研究系统内核。
多年耕耘信息安全领域。

议题7：移动APP灰色家当案例剖析与戒备

议题概要：

移动互联网时期，互联网业务飞速发展，在这样的大背景下滋润津润了一条以刷单、倒卖、刷榜、引流、推广为主的灰色家当链。
他们以低本钱换取了高额的利润，给互联网企业以及用户都带来了巨大的丢失。
加固技能、风险掌握、设备指纹、验证码等技能也都在飞速发展，但实际效果并不能让人满意。

本议题将戳穿多个真实案例的技能细节，开拓流程，运营流程，并提出一些防护建议，协议安全须要从体系上进行加强。

演讲高朋先容：

无名侠陈愉鑫移动安全爱好者，看雪论坛会员

议题8：游戏外挂对抗的安全实践

议题概要：

先容什么是定制化对抗，以及定制化对抗在腾讯安全方案中的浸染和定位。
定制化对抗的运营办法，被动的定制化对抗，基于游戏逻辑的对抗，实时参与游戏逻辑的方案能力先容。
主动的定制化对抗，游戏运营前的安全评审和运营期的漏洞挖掘。
游戏运营提高行安全性提升的技能点分享，游戏漏洞挖掘的履历分享。
定制化对抗方案的培植方法、定制化对抗方案的本钱代价、定制化方案的其他运用。

演讲高朋先容：

胡和君，腾讯游戏安全高等工程师，从事PC端游外挂对抗事情8年，近期紧张卖力FPS类游戏安全对抗事情，善于定制化应对FPS类游戏外挂风险。

议题9：开启IoT设备的上帝模式

议题概要：

当今IoT设备大量涌入智能家居领域，IoT安全和大众的生活息息相关。
本议题操持关注IoT设备开启上帝模式(即root模式)的干系安全问题，包括root设备的技能手段, 得到root权限后引发的潜在安全威胁，和缓解安全威胁的一些方法。
为了提升效果，会分享两个未公开的IoT设备的root漏洞。
演讲紧张内容如下：

1. Root IoT设备的常见技能手段: 除先容常规的弱密码和RCE漏洞外，会以一个复兴摄像头固件校验漏洞为例，先容假造固件绕过固件校验算法进行Root设备的方法。

2. Root IoT设备之后潜在的安全威胁：除先容常见的DDoS, DNS挟制, 监听监控等安全威胁外，会以一个DDNS智能硬件花生棒2的root漏洞为例，先容如何将一个原来不具备wifi功能的IoT设备开启wifi功能。

3. 缓解机制：分享常见的IoT安全机制，例如固件加密与署名，防火墙等方法。

IoT设备由于自身与传统PC设备在硬件和软件上的巨大差异，引发了新的安全问题，本次分享专注于谈论IoT设备被root后面临的干系安全问题。

演讲高朋先容：

杨经宇（Jingle）毕业于伦敦大学信息安全专业,就职于腾讯反病毒实验室，从事恶意代码研究事情。
开拓的腾讯哈勃剖析系统开源版入选过BlackHat兵器谱。
热爱IoT安全，病毒剖析等领域的研究。

议题10：浅析WEB安全编程

议题概要：

这次想分享的话题是,安全编码;这次分享当中,会把开拓中随意马虎忽略又比较常见的安全问题做一些先容,之后辅导在开拓中如何避免安全问题的产生。

演讲高朋先容：

汤青松中国婚博会PHP高等工程师，2017 Devlink PHP开拓者大会安全话题演讲高朋，2015年在网利宝,担当系统研发以及系统安全培植事情，2014年在乌云网,卖力乌云众测开拓。

议题11：那些年，你怎么写总会涌现的漏洞