“2018安全开发者峰会“是由拥有18年悠久历史的老牌安全技术社区——看雪学院所举办的会议,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。
"2018安全开发者峰会"是由拥有18年悠久历史的老牌安全技术社区——看雪学院所举办的会议,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。
秉承着技术与干货的原则,看雪学院于2017年11月成功举办了第一届安全开发者峰会,议题涵盖了安全编程、软件安全测试、智能设备安全、物联网安全、漏洞挖掘、移动安全、WEB安全、密码学、逆向技术、加密与解密、系统安全等,吸引了业内顶尖的开发者和技术专家,旨在推动软件开发安全的深入交流与分享,为安全人员、软件开发者、广大互联网人士及行业相关人士提供最具价值的交流平台。
本次峰会受到了梆梆安全、娜迦、阿里安全、腾讯安全、百度安全、Wifi万能钥匙、京东安全、360公司、几维安全、爱加密、金山毒霸(猎豹旗下品牌)、腾讯TSRC、科锐、同盾科技、15派等等数十家公司的大力支持和赞助。
1、《端到端通信中危险的中间盒子:祝福还是诅咒?》
演讲嘉宾:段海新
嘉宾简介:
毕业于清华大学计算机系,工学博士、教授、博士生导师,国际信息系统安全认证专家(CISSP),目前就职于清华大学信息网络工程研究中心,任清华大学网络与信息安全实验室主任,中国教育和科研计算机网紧急相应组(CCERT)负责人。承担国家973、863、自然科学基金等多项国家级科研项目,获部级科技进步奖一次。在国内外学术刊物或国际会议上发表学术论文20多篇,其中EI/SCI收录10多篇,专著或译著7部。
议题简介:
将结合团队近年的研究成果,介绍Web通信中的各种中间盒子存在的安全问题,包括注入广告或恶意内容、泄露用户隐私、缓存污染、大规模拒绝服务攻击等。
2、《智能设备漏洞挖掘中几个突破点》
演讲嘉宾:马良
嘉宾简介:
目前就职于绿盟科技,研究领域为物联网和工控安全,擅长领域:嵌入式系统。
在进入安全行业前,曾有十年丰富的嵌入式软件开发经历。如4年物联网产品开发经验;3年LTE开发经验;3年在工控系统开发经验。
议题简介:
本议题主要针对智能设备固件提取的攻防手段进行了整理和总结。
先对嵌入式系统的软硬件的基础架构做了介绍,然后会详细讲智能设备提取固件的十大方法,涉及到的软件和硬件工具,工具的作用和用法。本议题对智能设备安全研究人员提取固件的常用方法进行梳理,也对开发者提出了一些安全方面的建议,避免厂家辛苦开发出的产品、想要保护的固件没有保护好,被轻易提取出固件分析。无论是开发者还是安全爱好者都值得一看。
3、《Vuln or Flag in PHP Manual》
演讲嘉宾:邓永凯
嘉宾简介:
邓永凯(ID:xfkxfk),绿盟科技工业物联网安全研究员,从事安全产品开发、安全漏洞研究、安全应急响应等工作7年。
知名安全电子期刊《安全参考》、《书安》创始人兼负责人,逢魔安全实验室创始人。
曾在SSC安全大会,看雪安全峰会发表安全开发相关议题演讲。
擅长代码审结,漏洞挖掘,安全开发等,在国内多个漏洞提交平台及SRC为互联网厂商、通用应用程序厂商、IoT及安防设备厂商提交大量漏洞并获官方致谢。
议题简介:
本议题将介绍php中正常的非危险函数在某些场景下也一样存在安全风险,因为很多开发者认为官方手册的说明和方法应该是最标准的,没有任何问题的,所以就直接拿过来使用。
然而,如果没有认真仔细阅读及测试PHP manual中的使用方法,这些潜在安全风险就会被黑客恶意利用导致安全漏洞,而且这些潜在威胁就存在php官方的php manual当中只是需要你去发现它们,这些看似正常但是存在潜在威胁的函数方法经常会出现在代码审计、CTF挑战、漏洞利用Bypass当中。
4、《NLP机器学习模型安全性及实践》
演讲嘉宾:吴鹤意
嘉宾简介:
吴鹤意,网络安全爱好者,拥有大型政企单位安全应急与运维经验,多次参与中央部委安全事件解析工作,研究领域现集中于AI+SDN。
议题简介:
现在AI在各行各业的应用越来越多,但是对于AI模型的安全性研究相对落后。虽然国内外一些安全专家已经有了部分的研究成果,但是现阶段,从业务安全的角度,还没有很多的研究资料。本演讲从AI在自然语言处理领域NLP的实际应用出发,通过实例(国内知名NLP机器人产品),介绍AI问答机器人产品的业务安全问题,试图打破AI和业务安全之间的壁垒,推进AI在行业中的落地应用。
5、《iOS App安全审计与案例分享》
演讲嘉宾:黄涛
嘉宾简介:
3年软件开发经验,4年信息安全从业经验,拥有丰富的开发经验外,擅长MacOS/iOS漏洞挖掘、分析,逆向工程,iOS App安全审计。曾在看雪论坛及个人站点发表大量技术文章。在macOS/iOS的漏洞研究积累了大量的经验,目前在盘古实验室从事macOS、iOS漏洞挖掘、分析与iOS App应用审计工作。
议题介绍
本议题将会分享盘古实验室在针对iOS平台的App审计的工作过程中应用的技术手法和发现的常见问题。同时结合真实案例详细介绍在App审计过程中发现并利用ZipperDown的技术细节,包括ZipperDown对微博、qq音乐、陌陌等用户数量达到千万级别的APP的影响以及我们在构建ZipperDown完整攻击链的过程中遇到的问题和解决思路。
6、《被“幽灵”所困扰的浏览器》
演讲嘉宾:宋凯
嘉宾简介:
Kai Song (@exp-sky)是腾讯安全玄武实验室的高级安全研究员。对于软件漏洞挖掘与利用有着丰富的研究经验,主要关注浏览器及操作系统相关的安全研究。在Fuzzing与其它漏洞挖掘技术上也有着丰富的经验。曾代表腾讯安全玄武实验室赢得Pwn2Own 2017 Edge浏览器项目。曾连续三年入选微软MSRC全球Top 100贡献者榜单,最高排名第12位。赢得2016年微软Mitigation Bypass Bounty项目。分别赢得2015年和2016年Edge Bounty项目。曾在AsiaSecWest、HITCON、中国互联网安全大会、XKungFoo等安全会议发表演讲。
议题简介:
"Spectre"是一个严重的CPU漏洞影响了大部分的主流架构。攻击者可以通过缓存来利用这个漏洞,可以泄漏用户级进程中的敏感数据。大部分公开的攻击,都是本地攻击。如果可以通过浏览器进行漏洞利用,则对用户的大规模攻击将成为可能。并且因为浏览器用户量的庞大,如果攻击者成功这将是灾难性的。
在这个演讲中,我们将分享如何在浏览器中利用"Spectre"漏洞。我们将介绍如何通过Javascript触发"Spectre"漏洞并且生成可以稳定刷新缓存的汇编指令。由于侧信道漏洞的性质,我们做了大量的工作来提高漏洞触发的稳定性。我们基于在浏览器中稳定的利用程序,及时的发布了在线检查工具,帮助了成千上万的用户测试他们的设备是否可能被攻击。根据用户反馈,几乎所有的设备都可能成为受害者,包括Surface Pro、iPhone X、Pixel 2等等。
尽管"Spectre"漏洞影响了大量的用户,但它能否在实际的攻击中产生危害呢?我们会展示在浏览器中,通过"Spectre"漏洞可能造成的实际危害,并讨论相关的缓解措施。
更多精彩议题正在快马加鞭的赶来......
看雪诚邀业内大牛,为大家带来三大安全培训。
lWEB安全编程训练营
l硬件安全训练营——《智能摄像头漏洞挖掘实战培训》
lAndroid安全训练营(二)
《智能摄像头漏洞挖掘实战培训》
随着物联网的发展,安防设备的使用也越来越多,特别是摄像头的使用非常广泛,随之而来的摄像头的安全问题也日益凸显,且安全现状不容乐观。
在追求急速发展的同时,质量和安全问题却没有得到很好的保证,很多摄像头都存在各种各样的安全问题。
本课程主要从硬件方面的固件提取,固件解包,二进制逆向,系统后门,系统漏洞挖掘,常规web漏洞挖掘,web源代码审计、web后门,云安全等方面对物联网摄像头(测试8款流行设备)中存在的安全问题进行全方位的分析进行详细介绍。
在方法经验的讲解同时,实际动手进行摄像头的拆解,固件提取分析,漏洞挖掘,真正的从理论到实践。
2018年7月20日9:00~18:00
注意:
1、本课程需由学员自带笔记本电脑;
2、主办方将为学员提供免费午餐一份;
3、课程所需硬件设备由主办方提供。
1、智能设备固件获取方法和实战
2、固件解包常用方法和技巧
3、固件逆向分析常用工具和方法简介
4、智能设备硬件中的漏洞挖掘方法
5、摄像头识别方法和技巧
6、敏感信息收集
7、系统漏洞挖掘
8、协议相关漏洞挖掘
9、Web漏洞挖掘
10、云端业务漏洞挖掘
11、其他经验及技巧
基础知识准备:
需要对计算机基础知识及网络基础知识有一定的了解,最好熟悉web和系统常规漏洞原理,最主要的是对物联网安全及漏洞挖掘感兴趣。
WEB安全编程训练营
课程简介
13种漏洞主题参照OWASP top10,以及各大漏洞提交平台及SRC最常出现的漏洞进行归纳总结。
每个主题按照漏洞原理、漏洞代码分析、测试方法及工具、漏洞防范措施、如何开发出安全的代码,五大详细内容分类来进行深入讲解。
整个课程包含了大量的实际项目案例,通过案例阐述在实际项目中的应用,让开发人员深入理解和学习每种漏洞的原理、测试、预防措施,开发出安全的程序,在开发阶段就杜绝产品的漏洞问题。
培训时间
2018年7月20日9:00~18:00
注意:
1、本课程需由学员自带笔记本电脑;
2、主办方将为学员提供免费午餐一份。
课程目录
1、SQL注入漏洞
2、命令执行
3、代码注入
4、文件上传漏洞
5、文件包含
6、跨站脚本攻击(XSS)
7、跨站请求伪造(CSRF)
8、暴力破解
9、敏感信息泄漏
10、验证码绕过
11、越权
12、支付漏洞
13、密码找回
讲师简介
汤青松《PHP WEB安全开发实战》作者
2017 Devlink PHP开发者大会 安全话题演讲嘉宾
2017看雪安全开发者峰会 演讲嘉宾
中科院计算所培训中心“WEB安全开发”课讲师
颁奖盛典,精英齐聚
颁奖盛典,是本次峰会的特别环节,看雪诚邀2018看雪.京东CTF攻防双方获奖选手莅临峰会现场,并为其颁发证书及大奖。
看雪CTF在原CrackMe攻防大赛中发展而来,比赛分为两个阶段,一个阶段是防守篇,所有论坛会员都可参与,根据比赛要求制作题目,若所出的题目最晚被攻破,就胜出。第二阶段攻击篇,也是论坛会员都可参与,攻击第一阶段的题目,攻击的题目越快和越多,就胜出。
看雪CTF是看雪社区自建立以来,一直延续的传统活动。自2000年至今,看雪CTF已经历了数十年的发展,汇聚了来自国内众多的安全人才,高手对决,精彩异常。历年来看雪CTF中人才辈出,CTF的题目也愈加丰富多彩,题目涵盖二进制、Web、Pwn等众多领域,突出了看雪论坛复合型人才多的优势,成为企业挑选人才的重要途径。
购票指南
去年的峰会门票早早的就被抢购一空,现场更是座无虚席。
所以今年要买门票的小伙伴们要抓紧啦!
早购买,不仅能保证买到票,还能享受2.5折优惠哦!
1、购票官网:https://www.bagevent.com/event/1134294
2、扫码买票
购票二维码
识别二维码,立即购票哦!
责任编辑:武伟伟
推荐 0
收藏 0
关键词
