-
-
[公告]第1届看雪安全峰会议程,11月18号北京见!
-
发表于: 2017-9-26 19:22
-
主办方:看雪学院
合作方:CSDN
会议时间:2017年11月18号
会议地点:北京悠唐皇冠假日酒店
PS: 购票快速通道:https://www.bagevent.com/event/863807?bag_track=thread
17年来,看雪论坛在专业安全领域坚韧的发展着,不断有人加入,不断有人分享,技术不断更替,高手也越来越多。十几年来,其他很多安全论坛几乎都已经是昨日黄花,看雪论坛却始终保持活力。蛰伏17年后,看雪继终于发声,将于11月18日在北京举行《安全开发者峰会》,峰会将聚焦开发与安全,旨在以“防”为基准,安全开发为主旨,引导广大企业和开发者关注移动、智能设备、物联网等领域的安全,提高开发和安全技巧,创造出更安全的产品。
从2017年6月1日起《中华人民共和国网络安全法》正式实施后,国家将严厉执行网络安全规范,将网络安全提升到国家战略层面。这就意味着,出现安全问题,产品负责人及企业将承担法律责任。安全问题已不容忽视,一些有安全意识的前瞻性公司建立了自己的SRC(企业安全应急响应中心)并成立安全团队,为解决企业网络安全问题提供了有力的支撑。对企业负责人或研发人员而言,安全事故频发无疑是一场灾难。而解决安全问题的根本在于做到安全开发。安全设计应在一开始就作为项目开发的一部分来考虑,列入项目计划和开发成本中,并在保护强度、成本、易用性之间进行折衷考虑,选择一个合适的平衡点。本次《2017安全开发者峰会》聚焦“安全开发”,为安全人员与开发人员搭建一个桥梁,与安全专家直接面对面交流,了解当前和未来的一个安全方向。这是一个增长知识面、扩展人脉圈的绝佳机会。
出品人
段钢,看雪科技创始人及CEO,国内内信息安全领域具有广泛知名度和影响力的安全网站看雪学院(www.kanxue.com)的创始人和运营管理者,信息安全领域的知名作者,所著图书多次获奖。长期致力于信息安全技术研究,对当前安全技术的发展有深入思考。2016年创建上海看雪科技有限公司,致力于PC、移动、物联网安全研究及逆向工程相关的发展,为企业提供智能设备的安全测试等产品和服务。
嘉宾
会议日程
| 9:00-9:07 | 大会致辞 | 王军 | 中国信息安全测评中心总工程师 |
| 9:07-9:15 | 看雪学院创始人致辞 | 段钢 | 看雪学院创始人 |
| 9:15- 9:45 | Flash 之殇 - 漏洞之王 Flash Player 的末路 | 仙果 | 看雪论坛【二进制漏洞】版主 |
| 9:45-10:15 | 浅析WEB安全编程 | 汤青松 | 中国婚博会PHP高级工程师 |
| 10:15-10:45 | 业务安全发展趋势及对安全研发的挑战 | 彭巍 | 威胁猎人产品总监 |
| 10:45-11:15 | Windows 10新子系统*新挑战 | 陆麟
| 上海高重CIO |
11:15-11:45 | 智能化的安全: 设备&应用&ICS | 王东
| 启明星辰ADLab西南团队负责人 |
| 11:45-12:15 | 看雪版主及老会员座谈 | ||
| 12:15-12:20 | 抽奖 | ||
| 12:20-13:30 | 午餐 | ||
| 13:30-14:00 | 移动APP灰色产业案例分析与防范 | 陈愉鑫 |
移动安全爱好者 |
| 14:00-14:30 | 开启IoT设备的上帝模式 | 杨经宇
| 腾讯反病毒实验室研究员 |
| 14:30-15:00
| 那些年,你怎么写总会出现的漏洞 | 邓永凯 | 绿盟科技应急响应中心安全研究员 |
| 15:00-15:15 | 茶歇 | ||
| 15:15-15:20 | 抽奖 | ||
| 15:20-15:50 | 定制化对抗——游戏反外挂的安全实践 | 胡和君 | 腾讯游戏安全高级工程师 |
| 15:50-16:20 | java json 反序列化之殇 | 廖新喜
| 绿盟科技网络安全攻防实验室安全研究员 |
| 16:20-16:50 | 一石多鸟——击溃全线移动平台浏览器 | roysue
| 看雪iOS小组组长 |
| 16:50-17:20 | 如何黑掉无人机
| 谢君
| 阿里安全 IoT 安全研究团队负责人 |
| 17:20-17:50 | 嘉宾座谈 | ||
| 17:50-18:00 | 看雪.TSRC CTF2017秋季赛颁奖典礼 | ||
| 18:00-18:10 | 抽大奖 | ||
| 18:10 |
会议结束
|
看雪版主及老会员座谈 (11:45-12:15 )
嘉宾座谈 (17:50-18:20 )
演讲者及议题介绍
议题1:Flash 之殇 - 漏洞之王 Flash Player 的末路
议题概要:
Flash Player 作为最受欢迎的多媒体软件,一直以来都受到大众的软件,遥想当年的闪客精灵时代,何其风光。自从Flash Player 荣登"漏洞之王"的宝座之后,Flash 就成了"千夫所指"的对象,本议题就以Flash player为题,为大家带来Flash Player漏洞利用史,展现Flash 漏洞利用技术和攻防对抗技巧。
演讲嘉宾介绍:
仙果,十年以上的网络安全从业经验,致力于网络攻防对抗技术研究,专注软件漏洞的分析与利用,看雪论坛二进制漏洞版主。
议题2:浅析WEB安全编程
议题概要:
这次想分享的话题是,安全编码;这次分享当中,会把开发中容易忽略又比较常见的安全问题做一些介绍,之后指导在开发中如何避免安全问题的产生。
演讲嘉宾介绍:
汤青松 中国婚博会PHP高级工程师,2017 Devlink PHP开发者大会 安全话题演讲嘉宾,2015年在网利宝,担任系统研发以及系统安全建设工作,2014年在乌云网,负责乌云众测开发。
议题3:业务安全发展趋势及对安全研发的挑战
议题概要:
业务安全在2012年之前还只是以阿里、腾讯及携程等为主的局部战场,近些年随着垂直电商、社交、移动游戏和O2O等领域的快速发展,业务安全及反欺诈被更多的视线关注,但多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长,面对黑产的攻击会一时无措。作为防守方,除了对抗技术外,也要增强对黑产的认知,了解当前在一些业务核心问题上的对抗阶段和思路。
从我们接触的多个案例表明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知,这个议题会从国内业务安全发展过程来帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。
演讲嘉宾介绍:
毕裕,威胁猎人创始人兼CEO。曾任职于腾讯和猎豹移动,2011年起负责腾讯相关黑产研究及对抗。2015年起在台北负责猎豹移动海外安全团队,负责海外移动安全的相关产业链研究及打击。2016年与团队创业,专注互联网黑产研究及业务安全防护。
议题4:Windows 10新子系统*新挑战
议题概要:
本演讲课题讲述Windows10系统因对Linux系统的支持所带来改变以及伴随而来的安全挑战。
演讲嘉宾介绍:
陆麟,中国最老的十大黑客之一,Windows系统内核专家!原NEC中科院软件研究所专家。现任上海高重信息科技有限公司CIO。长期研究系统内核。多年耕耘信息安全领域。
议题5: 智能化的安全: 设备&应用&ICS
议题概要:
物联网热潮和泛在信息化推动了智能设备和智能应用的迅猛发展,同时野蛮式生长也带来了大量的安全漏洞,一旦被利用就会爆发出远超传统信息化逻辑边界的物理性伤害。本议题首先用智能门锁为对WIFI和BLE两种组网类型的智能设备进行安全漏洞分析,然后分析日常生活中智能应用的典型安全漏洞,最后分享我们在工业控制系统方面的安全研究经验。听众收益:让更多的开发者了解典型的安全漏洞,更好的提升产品的安全性;让更多的使用者了解身边的安全威胁,更好的保护自己的隐私和安全。
演讲嘉宾介绍
王东,启明星辰ADLab西南团队负责人,十年网络安全研究经验,擅长windows内核攻防研究,安全开发,程序分析,漏洞挖掘。目前专注于二进制漏洞挖掘和电力工业控制系统安全研究。
议题6:移动APP灰色产业案例分析与防范
议题概要:
移动互联网时代,互联网业务飞速发展,在这样的大背景下滋润了一条以刷单、倒卖、刷榜、引流、推广为主的灰色产业链。他们以低成本换取了高额的利润,给互联网企业以及用户都带来了巨大的损失。加固技术、风险控制、设备指纹、验证码等技术也都在飞速发展,但实际效果并不能让人满意。
本议题将揭露多个真实案例的技术细节,开发流程,运营流程,并提出一些防护建议,协议安全需要从体系上进行加强。
演讲嘉宾介绍:
无名侠 陈愉鑫 移动安全爱好者,看雪论坛会员
议题7:开启IoT设备的上帝模式
议题概要:
当今IoT设备大量涌入智能家居领域,IoT安全和大众的生活息息相关。本议题计划关注IoT设备开启上帝模式(即root模式)的相关安全问题,包括root设备的技术手段, 获得root权限后引发的潜在安全威胁,和缓解安全威胁的一些方法。为了提升效果,会分享两 已提交CNNVD 的IoT设备root漏洞。演讲主要内容如下:
1. Root IoT设备的常见技术手段: 除介绍常规的弱密码和RCE漏洞外,会以一个中兴摄像头固件校验漏洞为例,介绍伪造固件绕过固件校验算法进行Root设备的方法。
2. Root IoT设备之后潜在的安全威胁:除介绍常见的DDoS, DNS劫持, 监听监控等安全威胁外,会以一个DDNS智能硬件花生棒2的root漏洞为例,介绍如何将一个原本不具备wifi功能的IoT设备开启wifi功能。
3. 缓解机制:分享常见的IoT安全机制,例如固件加密与签名,防火墙等方法。
IoT设备因为自身与传统PC设备在硬件和软件上的巨大差异,引发了新的安全问题,本次分享专注于讨论IoT设备被root后面临的相关安全问题。
演讲嘉宾介绍:
杨经宇(Jingle)毕业于伦敦大学信息安全专业,就职于腾讯反病毒实验室,从事恶意代码研究工作。开发的腾讯哈勃分析系统开源版入选过BlackHat兵器谱。热爱IoT安全,病毒分析等领域的研究。
议题8:那些年,你怎么写总会出现的漏洞
议题概要:
主要针对开发者在编码时产生的意料之外的漏洞进行分析,阐述其原因以及应该注意的地方。通过防御绕过、错误的防御姿势、错误的使用方法、系统及语言自身特性、设计缺陷、二次漏洞等方面进行实例讲解。
听众收益:可以让开发者通过各种漏洞案例的分析了解到自己曾在编码中出现的错误,明白那些年为什么总是写出有漏洞的代码,从而提高安全开发安全编程的重要性意识。
演讲嘉宾介绍:
邓永凯,web安全研究员,绿盟科技从事安全工作5年,期间主要负责web及系统漏洞扫描器的开发,web漏洞挖掘及分析,web安全研究工作。 现在为绿盟科技应急响应中心从事web安全研究工作。擅长代码审计,渗透测试,web漏洞挖掘,安全自动化。曾创办《安全参考》,《书安》等免费电子安全杂志,前wooyun及补天核心白帽子。
议题9:游戏外挂对抗的安全实践
议题概要:
介绍什么是定制化对抗,以及定制化对抗在腾讯安全方案中的作用和定位。定制化对抗的运营方式,被动的定制化对抗,基于游戏逻辑的对抗,实时介入游戏逻辑的方案能力介绍。主动的定制化对抗,游戏运营前的安全评审和运营期的漏洞挖掘。游戏运营前进行安全性提升的技术点分享,游戏漏洞挖掘的经验分享。定制化对抗方案的建设方法、定制化对抗方案的成本代价、定制化方案的其他应用。
演讲嘉宾介绍:
胡和君,腾讯游戏安全高级工程师,从事PC端游外挂对抗工作8年,近期主要负责FPS类游戏安全对抗工作,擅长定制化应对FPS类游戏外挂风险。
议题10:java json 反序列化之殇
议题概要:
随着REST API的流行,JSON的使用也越来越多,但是其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。在这次演讲中,主要阐述java json库的反序列化特性导致的RCE。首先会介绍Gson,Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作,接着分析其安全机制,从其安全机制上发现哪些潜在的安全漏洞。然后会公布一些未公开的反序列化的的payload(以Fastjson举例说明),当然也可能包括0day,并且会对这些payload分类解读,从field类型,property类型的触发机制加以概括归纳。最后会从开发,运维的角度来防御这类安全问题。
本议题可以让更多的开发者理解Java反序列化漏洞,做好安全编码,做好安全防护,减少被黑客骚扰的机会。
演讲嘉宾介绍:
廖新喜(xxlegend),绿盟科技网络安全攻防实验室安全研究员,擅长代码审计,Web漏洞挖掘,拥有丰富的代码审计经验,曾在Pycon 2015 China大会上分享Python安全编码。安全行业从业六年,做过三年开发,先后担任绿盟科技极光扫描器的开发和开发代表,目前专注于Web漏洞挖掘,Java反序列化漏洞挖掘,给RedHat,Amazon提交多份漏洞报告。2016年网络安全周接受央视专访。
议题11:一石多鸟——击溃全线移动平台浏览器
议题概要:
浏览器早已成为我们日常生活中不可或缺的一部分,这种攻击可以造成大范围的用户信息泄露,不仅局限于网站上手机上填写的姓名电话、信用卡银行卡等用户基础信息,更包括了我们日常生活中频繁使用的淘宝购物,“扫一扫”、“公众号”、“小程序”、共享单车H5、饿了么H5等等贴近生活的一线App,所有App均不同程度的使用了某种Webview的实现。一旦被意图不轨者掌握并利用,后果非常严重。针对应用层的攻击频次连年增长,攻击方式更加多元,而越来越多企业的业务又依靠互联网来实现,防止应用层安全失守成为企业不可回避的问题,做好应用层安全也成为厂商和企业不可或缺乃至不可推卸的责任。
演讲嘉宾介绍:
Roysue,看雪iOS板块版主,iOS独立安全研究员,《iOS黑客养成笔记:数据挖掘与提权基础》电子工业出版社今年11月出版,《JavaScript内核逆向与爆破指南》正在撰写中。
议题12: 如何黑掉无人机
议题概要:
本议题是基于某品牌创新无人机DJI Phantom 4 Pro和DJI Mavic Pro机型上进行的研究,系统的介绍某品牌无人机的架构体系,功能模块,传感器等,包括各个组件的攻击面,安全防护体系,软硬件反调技术及其绕过方法,并深度解读无线宽带通信等。现场会介绍一个不需要通过软件漏洞就能Root无人机的方法,以及如何远程劫持一台无人机。
演讲嘉宾介绍:
2016年发现小米整个智能硬件生态高危远程漏洞,在XPwn2016展示其漏洞利用并协助修复;2016年发现美的智能生态远程高危漏洞,并协助修复;2015年发现Broadlink整个智能硬件生态高危远程利用漏洞,在GeekPwn2015展示其漏洞利用;2014年发现美国奔驰高危远程漏洞,并控制超过50辆奔驰汽车。此前并发现过惠普,富士施乐打印机远程漏洞和微软高危漏洞;2011年发现迅雷网络多个高危漏洞,并且验证利用迅雷网络发起大规模DDOS攻击。
看雪Android 安全训练营 (会议前1天9:AM- 18:PM)
1、 Android 安全基础
安卓安全中基本工具操作方法与环境搭建, 例如jeb、ida、Android Killer等, App 静态分析与动态调试, SO库静态分析与动态调试, App逆向分析技巧。
2、 Android 安全协议设计
本章包含 Android 系统中的抓包方法( HTTP、HTTPS、TCP) 与协议关键代码定位, 协议反序列化, 协议加密与签名以及如何设计具有高鉴权能力的协议逻辑。
3、 Android 羊毛党防范
羊毛党可谓是互联时代的毒瘤之一, 他们无处不在, 抢走了企业的营销资源, 那么我们要如何防范他们呢? 我们将通过具体真实的案例对防范方法进行深度的分析。
4、 Android 加固原理与脱壳
主讲目前几大流行加固所采用的保护技术与原理, 同时会讲到加固的破解思路。
5、 Android 病毒分析
安卓开发门槛越来越低, 导致各类锁机病毒、窃取病毒层出不穷, 对于普通用户来说移动端比PC端的病毒更有杀伤⼒, 因为一部手机上保存了太多的个人信息, 一旦出现木马, 后果不堪设想, 所以安卓病毒分析应该是每个个研究安卓安全的人必修课之一。
6、 Android 中的游戏安全
注入技术、Hook技术、找call、封包重放、内存修改、游戏逆向, 这些技术都能对市面上大部分游戏带来致命打击, 我们怎么防范呢?
7、Android APP分析
SO文件分析、反调试绕过
8、Android APP注入
smali注入、进程注入、SO HOOK、java HOOK
训练营现场将提供所有的环境、⼯具、加固样本、病毒样本以及经过定制的调试设备⽅便学员测试!
购票指南
现在立即抢购即可享受2.5折优惠,只需要256元哦(含五星级自助餐)~
购票地址:
https://www.bagevent.com/event/863807?bag_track=thread
赞助商
钻石赞助
铂金赞助
媒体支持
看雪学院创建于2000年,致力于PC、移动、物联网安全研究及逆向工程相关的开发者社区,已有注册会员70万。大量安全人才通过社区,从普通IT爱好者成长为安全专才,十几年的发展过程中,看雪网站形成了大量有价值的技术资料和图书,社会影响深远。
支持单位
联系我们
商务合作、媒体合作、票务咨询:
电话:13611684418
邮箱:wsc@kanxue.com
|
|
|---|---|
|
|
商务合作、媒体合作、票务咨询
感觉我好忙 
|
|
|
|
|
|
好久没来论坛了,支持支持
|
|
|
欢迎大家多多捧场!
|
|
|
|
|
|
多谢支持! |
|
|
|
|
|
|
|
|
多谢支持! |
|
|
|
|
|
|
|
|
|
|
|
是的,17号的培训,18号的会议,17号中午、18中午两顿午餐,还有一部测试手机,还是很超值的。 培训的人员,需要自带笔记本。
|
|
|
3888还包含一部手机。 
|
|
|
|
|
|
|
|
|
|
everettjf
