查看原文
其他

看雪2018安全开发者峰会9大议题曝光!

看雪学院 2019-05-27



2018年7月21日,拥有18年悠久历史的老牌安全技术社区——看雪学院联手国内最大开发者社区CSDN,倾力打造一场技术干货的饕餮盛宴——2018 安全开发者峰会,将在国家会议中心隆重举行。会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。


峰会将聚焦开发与安全,“万物互联,安全开发”,旨在以“防”为基准,安全开发为主旨,引导广大企业和开发者关注移动、智能设备、物联网等领域的安全,提高开发和安全技巧,创造出更安全的产品。


此外峰会将展现当前最新、最前沿技术成果,汇聚年度最强实践案例,为中国软件开发者们呈献了一份年度技术实战解析全景图。


秉承着技术与干货的原则,看雪学院精心筛选的议题涵盖了安全编程、软件安全测试、智能设备安全、物联网安全、漏洞挖掘、移动安全、WEB安全、密码学、逆向技术、加密与解密等,吸引了业内顶尖的开发者和技术专家,旨在推动软件开发安全的深入交流与分享,为安全人员、软件开发者、广大互联网人士及行业相关人士提供最具价值的交流平台。


本次峰会受到了梆梆安全、娜迦、阿里安全、腾讯安全、百度安全、Wifi万能钥匙、京东安全、360公司、几维安全、爱加密、金山毒霸(猎豹旗下品牌)、腾讯TSRC、科锐培训、同盾科技、15派培训等等数十家公司的大力支持和赞助。 



会议日程


时间

议题题目

演讲嘉宾

9:00-9:10

致辞

神秘嘉宾

9:10-9:20

看雪学院创始人致辞

段钢

9:20-10:05

端到端通信中危险的中间盒子:祝福还是诅咒?

段海新

10:05-10:50

智能设备漏洞挖掘中几个突破点

马良

10:50-11:15

NLP机器学习模型安全性及实践

吴鹤意

11:15-12:00

TCP的厄运,网络协议侧信道分析及利用

钱志云

12:00-13:30

午餐


13:30-14:00

硬件钱包安全分析

胡铭德

14:00-14:40

iOS  App 安全审计与案例分享

黄涛

14:40-15:00

休息


15:00-15:45

Vuln  or Flag in PHP Manual

邓永凯  

15:45-16:45

被“幽灵”所困扰的浏览器

宋凯

16:45-17:15

演讲


17:15-17:45

座谈


17:45-18:00

颁奖典礼




重磅议题,惊喜一“夏”~


1、端到端通信中危险的中间盒子:祝福还是诅咒?

议题简介:

将结合团队近年的研究成果,介绍Web通信中的各种中间盒子存在的安全问题,包括注入广告或恶意内容、泄露用户隐私、缓存污染、大规模拒绝服务攻击等。

演讲嘉宾: 段海新

毕业于清华大学计算机系,工学博士、教授、博士生导师,国际信息系统安全认证专家( CISSP ),目前就职于清华大学信息网络工程研究中心,任清华大学网络与信息安全实验室主任,中国教育和科研计算机网紧急相应组( CCERT )负责人。承担国家 973 、 863 、自然科学基金等多项国家级科研项目,获部级科技进步奖一次。在国内外学术刊物或国际会议上发表学术论文 20 多篇,其中 EI/SCI 收录10 多篇,专著或译著 7 部。



2、智能设备漏洞挖掘中几个突破点

议题简介:

本议题主要针对智能设备固件提取的攻防手段进行了整理和总结。

先对嵌入式系统的软硬件的基础架构做了介绍,然后会详细讲智能设备提取固件的十大方法,涉及到的软件和硬件工具,工具的作用和用法。本议题对智能设备安全研究人员提取固件的常用方法进行梳理, 也对开发者提出了一些安全方面的建议, 避免厂家辛苦开发出的产品、想要保护的固件没有保护好,被轻易提取出固件分析。无论是开发者还是安全爱好者都值得一看。

演讲嘉宾: 马良

目前就职于绿盟科技,研究领域为物联网和工控安全,擅长领域 : 嵌入式系统。在进入安全行业前,曾有十年丰富的嵌入式软件开发经历。如4年物联网产品开发经验;3年LTE开发经验;3年在工控系统开发经验。


3、NLP机器学习模型安全性及实践

议题简介:

现在AI在各行各业的应用越来越多,但是对于AI模型的安全性研究相对落后。虽然国内外一些安全专家已经有了部分的研究成果,但是现阶段,从业务安全的角度,还没有很多的研究资料。本演讲从AI在自然语言处理领域NLP的实际应用出发,通过实例(国内知名NLP机器人产品),介绍AI问答机器人产品的业务安全问题,试图打破AI和业务安全之间的壁垒,推进AI在行业中的落地应用。

演讲嘉宾:吴鹤意

吴鹤意,网络安全爱好者,拥有大型政企单位安全应急与运维经验,多次参与中央部委安全事件解析工作,研究领域现集中于AI+SDN。



4、TCP的厄运,网络协议侧信道分析及利用

议题简介:

介绍网络侧信道的历史。作为一个小众和新型的漏洞类型,我将阐明网络侧信道的威胁和安全风险。作为GeekPwn 2016和2017上获奖项目(同时为顶级安全学术会议作品),我将剖析TCP侧信道的漏洞成因和利用方法(其中GeekPwn 2017的攻击将首次揭秘)。这两项攻击的内容分别影响了Linux操作系统和无线802.11协议标准,受到业界的强烈关注。报告深入浅出,适合不同背景的受众。

将首次揭秘GeekPwn 2017硅谷站TCP侧信道的漏洞及利用方法

演讲嘉宾:钱志云

钱志云是加州大学河滨分校 (University of California, Riverside) 的副教授 (四年时间内拿到终身教授)。他的研究兴趣在于网络,操作系统,以及软件安全。其中涉及到TCP/IP协议的设计与实现,安卓操作系统的漏洞挖掘和分析,以及测性道在网络系统领域中的安全性研究。获得GeekPwn 2016最大脑洞奖和GeekPwn 2017优胜奖。


5、硬件钱包安全分析

议题介绍:

随着区块链技术的兴起,国内国外出现很多硬件钱包厂家,由于大多厂家对安全理解不到位,出现很多设计架构的一些问题,我们做了相关安全研究。

国内很多比特币硬件钱包是基于手机平台开发(mtk)由于该平台usb接口存在漏洞。利用该漏洞我们可以对固件修改  ,对手机钱包app修改,从而打开wifi蓝牙接口。进而完全控制钱包的私钥。同时也会涉及国外其他硬件钱包设计缺陷。最后通过一些演示证明此类钱包的不安全性和脆弱性。

演讲嘉宾:胡铭德

北京知道创宇先进技术部总监

工业控制系统信息安全国家安全技术国家工程实验室分部主任

2016 xpwn sony 笔记本电脑后门口令破解 演讲者

从事信息安全20余年, 硬件爱好者,编程爱好者。



6、

iOS App 安全审计与案例分享

  

议题介绍:

本议题将会分享盘古实验室在针对iOS平台的App审计的工作过程中应用的技术手法和发现的常见问题。同时结合真实案例详细介绍在App审计过程中发现并利用ZipperDown的技术细节,包括ZipperDown对微博、qq音乐、陌陌等用户数量达到千万级别的APP的影响以及我们在构建ZipperDown完整攻击链的过程中遇到的问题和解决思路。


演讲嘉宾:黄涛

3年软件开发经验,4年信息安全从业经验,拥有丰富的开发经验外,擅长MacOS/iOS漏洞挖掘、分析,逆向工程,iOS App安全审计。曾在看雪论坛及个人站点发表大量技术文章。在macOS/iOS的漏洞研究积累了大量的经验,目前在盘古实验室从事macOS、iOS漏洞挖掘、分析与iOS App应用审计工作。



7、Vul or Flag in PHP Manual

议题简介:

本议题将介绍php中正常的非危险函数在某些场景下也一样存在安全风险,因为很多开发者认为官方手册的说明和方法应该是最标准的,没有任何问题的,所以就直接拿过来使用。

然而,如果没有认真仔细阅读及测试PHP manual中的使用方法,这些潜在安全风险就会被黑客恶意利用导致安全漏洞,而且这些潜在威胁就存在php官方的php manual当中只是需要你去发现它们,这些看似正常但是存在潜在威胁的函数方法经常会出现在代码审计、CTF挑战、漏洞利用Bypass当中。


演讲嘉宾:邓永凯  

邓永凯(ID:xfkxfk),绿盟科技工业物联网安全研究员,从事安全产品开发、安全漏洞研究、安全应急响应等工作7年。

知名安全电子期刊《安全参考》、《书安》创始人兼负责人,逢魔安全实验室创始人。

曾在SSC安全大会,看雪安全峰会发表安全开发相关议题演讲。

擅长代码审结,漏洞挖掘,安全开发等,在国内多个漏洞提交平台及SRC为互联网厂商、通用应用程序厂商、IoT及安防设备厂商提交大量漏洞并获官方致谢。


8、自动逆向机器人

议题简介:

分析软件、破解文件和协议、漏洞分析和利用,都需掌握逆向技能。 你想不想有一个机器人,能够:

1. 文件和协议格式的自动化逆向,把相关软件运行一遍就能分析的清清楚楚;

2. 再也不怕“不稳定重现的漏洞分析”,而且修改的每个字节,后序流程都一览无遗;

3. 发现wannycry在系统中残留的密钥(独家);

4. 无论多复杂的虚拟机壳,都能轻易找到算法的密钥。

本议题会和大家分析我们在自动化逆向能力上的部分进展。

演讲嘉宾:弗为

弗为,阿里巴巴安全部·猎户座攻防实验室成员,主要关注二进制程序分析与漏洞挖掘、软件供应链安全。在结合工业界传统人工分析经验,以及学术界方法论成果上,进行多种尝试和工具规模化、自动化研究。


9、被“幽灵”所困扰的浏览器

议题简介:

在这个演讲中,我们将分享如何在浏览器中利用"Spectre"漏洞。我们将介绍如何通过Javascript触发"Spectre"漏洞并且生成可以稳定刷新缓存的汇编指令。

尽管 "Spectre" 漏洞影响了大量的用户,但它能否在实际的攻击中产生危害呢?我们会展示在浏览器中,通过"Spectre" 漏洞可能造成的实际危害,并讨论相关的缓解措施。


演讲嘉宾:宋凯

宋凯(@exp-sky) 是腾讯安全玄武实验室的高级安全研究员。对于软件漏洞挖掘与利用有着丰富的研究经验,主要关注浏览器及操作系统相关的安全研究。在Fuzzing与其它漏洞挖掘技术上也有着丰富的经验。曾代表腾讯安全玄武实验室赢得 Pwn2Own 2017 Edge 浏览器项目。曾连续三年入选微软 MSRC 全球 Top 100 贡献者榜单,最高排名第12位。赢得2016年微软 Mitigation Bypass Bounty 项目。分别赢得2015年和2016年 Edge Bounty 项目。曾在AsiaSecWest、HITCON、中国互联网安全大会、XKungFoo等安全会议发表演讲。


更多精彩议题正在快马加鞭的赶来......



三大安全训练营,充电不停


看雪诚邀业内大牛,为大家带来三大安全培训。



更多详情,请戳左下角阅读原文,查看官网哦!



 颁奖盛典,精英齐聚



颁奖盛典,是本次峰会的特别环节,看雪诚邀2018看雪.京东CTF攻防双方获奖选手莅临峰会现场,并为其颁发证书及大奖。

看雪CTF在原CrackMe攻防大赛中发展而来,比赛分为两个阶段,一个阶段是防守篇,所有论坛会员都可参与,根据比赛要求制作题目,若所出的题目最晚被攻破,就胜出。第二阶段攻击篇,也是论坛会员都可参与,攻击第一阶段的题目,攻击的题目越快和越多,就胜出。

看雪CTF是看雪社区自建立以来,一直延续的传统活动。自2000年至今,看雪CTF 已经历了数十年的发展,汇聚了来自国内众多的安全人才,高手对决,精彩异常。历年来CTF中人才辈出,CTF的题目也愈加丰富多彩,题目涵盖二进制、Web、Pwn等众多领域,突出了看雪论坛复合型人才多的优势,成为企业挑选人才的重要途径。



购票指南


去年的峰会门票早早的就被抢购一空,现场更是座无虚席。


所以今年要买门票的小伙伴们要抓紧啦!


早购买,不仅能保证买到票,还能享受2.5折优惠哦!


购票二维码

识别二维码,立即购票哦!




扫描二维码关注我们,更多干货等你来拿!



戳原文,峰会精彩立即看!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存