看雪學院將舉辦《安全開發(fā)者峰會》，有這11個安全議題

無論是不久前雷鋒網(wǎng)報道的國內(nèi)的特大侵犯公民個人信息案，某部委醫(yī)療服務信息系統(tǒng)遭“黑客”入侵，超過7億條公民信息遭泄露，還是美國信用評估機構(gòu)遭黑客入侵，泄露半數(shù)美國消費者重要信息，比如姓名、出生日期、家庭地址、社會安全號 SSN、駕駛執(zhí)照 ID、信用卡信息……

安全問題已不容忽視，對企業(yè)負責人或研發(fā)人員而言，安全事故頻發(fā)無疑是一場災難。而解決安全問題的根本在于做到安全開發(fā)。安全設(shè)計應在一開始就作為項目開發(fā)的一部分來考慮，列入項目計劃和開發(fā)成本中，并在保護強度、成本、易用性之間進行折衷考慮，選擇一個合適的平衡點。

基于此，看雪學院將于11月18日在北京舉行2017《安全開發(fā)者峰會》,峰會聚焦“安全開發(fā)”，旨在以“防”為基準，安全開發(fā)為主旨，引導廣大企業(yè)和開發(fā)者關(guān)注移動、智能設(shè)備、物聯(lián)網(wǎng)等領(lǐng)域的安全，提高開發(fā)和安全技巧，創(chuàng)造出更安全的產(chǎn)品。

會議時間：2017年11月18號

會議地點：北京朝陽區(qū)悠唐皇冠假日酒店

峰會嘉賓

段鋼：看雪科技創(chuàng)始人及CEO，國內(nèi)內(nèi)信息安全領(lǐng)域具有廣泛知名度和影響力的安全網(wǎng)站看雪學院(www.kanxue.com)的創(chuàng)始人和運營管理者，信息安全領(lǐng)域的知名作者，所著圖書多次獲獎。長期致力于信息安全技術(shù)研究，對當前安全技術(shù)的發(fā)展有深入思考。2016年創(chuàng)建上海看雪科技有限公司，致力于PC、移動、物聯(lián)網(wǎng)安全研究及逆向工程相關(guān)的發(fā)展，為企業(yè)提供智能設(shè)備的安全測試等產(chǎn)品和服務。

王軍：中國信息安全測評中心總工程師

談劍峰：現(xiàn)任上海市信息安全行業(yè)協(xié)會會長，中國中小企業(yè)協(xié)會副會長，全國信息安全標準化技術(shù)委員會委員。上海眾人網(wǎng)絡安全技術(shù)有限公司（簡稱：眾人科技）創(chuàng)始人、董事長，是信息安全領(lǐng)域的資深專家。中國網(wǎng)絡信息安全產(chǎn)業(yè)新一代領(lǐng)軍人物。

譚曉生：360公司CTO兼VP、CPO（首席隱私官），前myspace中國CTO。現(xiàn)任奇虎360副總裁兼首席隱私官（CPO ），負責公司網(wǎng)站技術(shù)、技術(shù)運維、數(shù)據(jù)分析與挖掘等工作。

季昕華：中國首代黑客代表人物，UCloud創(chuàng)始人之一，現(xiàn)任UCloud首席執(zhí)行官。

潘柱廷：北京啟明星辰信息技術(shù)有限公司首席戰(zhàn)略官，主要負責公司技術(shù)部門管理及公司經(jīng)營戰(zhàn)略的規(guī)劃。

馬杰：百度安全事業(yè)部總經(jīng)理，原安全寶創(chuàng)始人兼CEO，亞州反病毒研究者組織（AVAR）理事。

龔蔚：ID Goodwell，中國黑客教父，早期十大黑客之一，綠色兵團創(chuàng)始人，COG發(fā)起人，1999年創(chuàng)立了上海綠盟信息技術(shù)有限公司。先任WiFi萬能鑰匙CSO。

TK（于旸）：江湖外號婦科圣手，騰訊玄武實驗室掌門人，安全焦點核心成員，全球最為知名的幾位白帽子之一，對 Windows 操作系統(tǒng)漏洞方面研究非常深入。

陳彪：現(xiàn)任梆梆安全CTO。曾任職于Intel、Sun等國際知名公司，專注于虛擬機、移動應用保護等領(lǐng)域，獲得多項全球和國家發(fā)明專利。

高春輝：ID Polo 高，DOS 時代的 Cracker，中國個人站長第一人，成功創(chuàng)辦過手機之家、ECShop、IPIP.net 等項目，連續(xù)創(chuàng)業(yè)的互聯(lián)網(wǎng)老將，被圈內(nèi)譽為中國互聯(lián)網(wǎng)活化石。

韓爭光（TB）：上海犇眾信息技術(shù)有限公司創(chuàng)始人 & CEO，國際頂級安全團隊盤古核心。

董志強：“七劍”之一的騰訊云鼎實驗室掌門人 Killer 。

袁仁廣（袁哥）：騰訊湛瀘實驗室袁哥，2008北京奧運會特聘信息安全專家，中國國家信息安全漏洞庫特聘專家。

段海新：清華大學網(wǎng)絡科學與網(wǎng)絡空間研究院，網(wǎng)絡與信息安全實驗室主任。

彭瀛：愛加密的創(chuàng)始人及董事長。

譚萬里：硬土殼安全創(chuàng)始人，新安全生態(tài)實踐者

范俊偉：幾維安全聯(lián)合創(chuàng)始人、CEO

陸麟：ID：lu0，早期十大黑客之一，Windows 內(nèi)核專家，驅(qū)動專家。

楊冀龍：ID老楊，早期十大黑客之一，安全焦點創(chuàng)始人，《網(wǎng)絡滲透技術(shù)》作者，知道創(chuàng)宇公司副總、CTO，著名安全組織XFOCUS的核心成員。

峰會日程

演講者及議題介紹

議題1：業(yè)務安全發(fā)展趨勢及對安全研發(fā)的挑戰(zhàn)

議題概要：

業(yè)務安全在2012年之前還只是以阿里、騰訊及攜程等為主的局部戰(zhàn)場，近些年隨著垂直電商、社交、移動游戲和O2O等領(lǐng)域的快速發(fā)展，業(yè)務安全及反欺詐被更多的視線關(guān)注，但多數(shù)廠商并沒有像阿里和騰訊一樣與黑產(chǎn)相愛相殺一起成長，面對黑產(chǎn)的攻擊會一時無措。作為防守方，除了對抗技術(shù)外，也要增強對黑產(chǎn)的認知，了解當前在一些業(yè)務核心問題上的對抗階段和思路。

從我們接觸的多個案例表明多數(shù)甲方在業(yè)務安全及反欺詐上很被動的主要原因是缺乏對黑產(chǎn)的認知，這個議題會從國內(nèi)業(yè)務安全發(fā)展過程來幫助甲方研發(fā)梳理業(yè)務安全對抗思路并對當前主要的一些風險場景具體說明。

演講嘉賓介紹：

畢裕，威脅獵人創(chuàng)始人兼CEO。曾任職于騰訊和獵豹移動，2011年起負責騰訊相關(guān)黑產(chǎn)研究及對抗。2015年起在臺北負責獵豹移動海外安全團隊，負責海外移動安全的相關(guān)產(chǎn)業(yè)鏈研究及打擊。2016年與團隊創(chuàng)業(yè)，專注互聯(lián)網(wǎng)黑產(chǎn)研究及業(yè)務安全防護。

議題2：java json 反序列化之殤

議題概要：

隨著REST API的流行，JSON的使用也越來越多，但是其中存在的安全問題卻不容忽視，特別是由于反序列化導致的遠程代碼執(zhí)行更是威力十足。在這次演講中，主要闡述java json庫的反序列化特性導致的RCE。首先會介紹Gson，Jackson和Fastjson這三個最常用的JSON序列化庫的序列化和反序列的操作，接著分析其安全機制，從其安全機制上發(fā)現(xiàn)哪些潛在的安全漏洞。然后會公布一些未公開的反序列化的的payload（以Fastjson舉例說明），當然也可能包括0day，并且會對這些payload分類解讀，從field類型，property類型的觸發(fā)機制加以概括歸納。最后會從開發(fā)，運維的角度來防御這類安全問題。

本議題可以讓更多的開發(fā)者理解Java反序列化漏洞，做好安全編碼，做好安全防護，減少被黑客騷擾的機會。

演講嘉賓介紹：

廖新喜(xxlegend)，綠盟科技網(wǎng)絡安全攻防實驗室安全研究員，擅長代碼審計，Web漏洞挖掘，擁有豐富的代碼審計經(jīng)驗，曾在Pycon 2015 China大會上分享Python安全編碼。安全行業(yè)從業(yè)六年，做過三年開發(fā)，先后擔任綠盟科技極光掃描器的開發(fā)和開發(fā)代表，目前專注于Web漏洞挖掘，Java反序列化漏洞挖掘，給RedHat，Amazon提交多份漏洞報告。2016年網(wǎng)絡安全周接受央視專訪。

議題3： 一石多鳥——擊潰全線移動平臺瀏覽器

議題概要：

瀏覽器早已成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?，這種攻擊可以造成大范圍的用戶信息泄露，不僅局限于網(wǎng)站上手機上填寫的姓名電話、信用卡銀行卡等用戶基礎(chǔ)信息，更包括了我們?nèi)粘Ｉ钪蓄l繁使用的淘寶購物，“掃一掃”、“公眾號”、“小程序”、共享單車H5、餓了么H5等等貼近生活的一線App，所有App均不同程度的使用了某種Webview的實現(xiàn)。一旦被意圖不軌者掌握并利用，后果非常嚴重。針對應用層的攻擊頻次連年增長，攻擊方式更加多元，而越來越多企業(yè)的業(yè)務又依靠互聯(lián)網(wǎng)來實現(xiàn)，防止應用層安全失守成為企業(yè)不可回避的問題，做好應用層安全也成為廠商和企業(yè)不可或缺乃至不可推卸的責任。

演講嘉賓介紹：

Roysue，看雪iOS板塊版主，iOS獨立安全研究員，《iOS黑客養(yǎng)成筆記：數(shù)據(jù)挖掘與提權(quán)基礎(chǔ)》電子工業(yè)出版社今年11月出版，《JavaScript內(nèi)核逆向與爆破指南》正在撰寫中。

議題4：Flash 之殤 - 漏洞之王 Flash Player 的末路  

議題概要：

Flash Player 作為最受歡迎的多媒體軟件，一直以來都受到大眾的軟件，遙想當年的閃客精靈時代，何其風光。自從Flash Player 榮登"漏洞之王"的寶座之后，F(xiàn)lash 就成了"千夫所指"的對象，本議題就以Flash player為題，為大家?guī)鞦lash Player漏洞利用史，展現(xiàn)Flash 漏洞利用技術(shù)和攻防對抗技巧。

演講嘉賓介紹：

仙果，十年以上的網(wǎng)絡安全從業(yè)經(jīng)驗，致力于網(wǎng)絡攻防對抗技術(shù)研究，專注軟件漏洞的分析與利用，看雪論壇二進制漏洞版主。

議題5：一種以IOT漏洞對抗IOT僵尸網(wǎng)絡的方法

議題概要：

由于安全機制的缺失，現(xiàn)有的iot設(shè)備往往存在較多安全問題。

另外現(xiàn)網(wǎng)中有大量OEM設(shè)備，當IOT設(shè)備的安全問題被發(fā)現(xiàn)后，這些OEM的IOT設(shè)備的安全補丁往往得不到廠家及時開發(fā)。

另外由于用戶安全意識不夠，IOT設(shè)備的安全補丁也沒有得到用戶的及時更新。

這些問題使得大量的IOT設(shè)備已經(jīng)被僵尸網(wǎng)絡所控制。

在對抗僵尸網(wǎng)絡的過程中，人們采用的方法較多的是進行流量清洗和關(guān)閉c&c服務器的方法。

但是這些方法并不能有效地幫助有問題的IOT設(shè)備避免受到僵尸網(wǎng)絡的下一次控制。

如何在大規(guī)模僵尸網(wǎng)絡發(fā)動攻擊前，快速主動地修復被僵尸網(wǎng)絡控制的IOT設(shè)備安全漏洞，從而削弱僵尸網(wǎng)絡的破壞能力?

演講者提出了一種以IOT漏洞對抗IOT僵尸網(wǎng)絡的方法。

演講嘉賓介紹：

王啟澤，看雪ID(ggggwwww)，啟明星辰ADLab（積極防御實驗室）安全研究員&看雪智能硬件小組成員。他所研究的領(lǐng)域涵蓋移動通信安全、IOT安全，曾在移動通信安全領(lǐng)域有15年的工作經(jīng)驗。 

議題6： Windows 10新子系統(tǒng)*新挑戰(zhàn)

議題概要：

本演講課題講述Windows10系統(tǒng)因?qū)inux系統(tǒng)的支持所帶來改變以及伴隨而來的安全挑戰(zhàn)。

演講嘉賓介紹：

陸麟，中國最老的十大黑客之一，Windows系統(tǒng)內(nèi)核專家！原NEC中科院軟件研究所專家。現(xiàn)任上海高重信息科技有限公司CIO。長期研究系統(tǒng)內(nèi)核。多年耕耘信息安全領(lǐng)域。

議題7： 移動APP灰色產(chǎn)業(yè)案例分析與防范

議題概要：

移動互聯(lián)網(wǎng)時代，互聯(lián)網(wǎng)業(yè)務飛速發(fā)展，在這樣的大背景下滋潤了一條以刷單、倒賣、刷榜、引流、推廣為主的灰色產(chǎn)業(yè)鏈。他們以低成本換取了高額的利潤，給互聯(lián)網(wǎng)企業(yè)以及用戶都帶來了巨大的損失。加固技術(shù)、風險控制、設(shè)備指紋、驗證碼等技術(shù)也都在飛速發(fā)展，但實際效果并不能讓人滿意。

本議題將揭露多個真實案例的技術(shù)細節(jié)，開發(fā)流程，運營流程，并提出一些防護建議，協(xié)議安全需要從體系上進行加強。

演講嘉賓介紹：

無名俠 陳愉鑫 移動安全愛好者，看雪論壇會員

議題8： 游戲外掛對抗的安全實踐

議題概要：

介紹什么是定制化對抗，以及定制化對抗在騰訊安全方案中的作用和定位。定制化對抗的運營方式，被動的定制化對抗，基于游戲邏輯的對抗，實時介入游戲邏輯的方案能力介紹。主動的定制化對抗，游戲運營前的安全評審和運營期的漏洞挖掘。游戲運營前進行安全性提升的技術(shù)點分享，游戲漏洞挖掘的經(jīng)驗分享。定制化對抗方案的建設(shè)方法、定制化對抗方案的成本代價、定制化方案的其他應用。

演講嘉賓介紹：

胡和君，騰訊游戲安全高級工程師，從事PC端游外掛對抗工作8年，近期主要負責FPS類游戲安全對抗工作，擅長定制化應對FPS類游戲外掛風險。

議題9： 開啟IoT設(shè)備的上帝模式

議題概要：

當今IoT設(shè)備大量涌入智能家居領(lǐng)域，IoT安全和大眾的生活息息相關(guān)。本議題計劃關(guān)注IoT設(shè)備開啟上帝模式(即root模式)的相關(guān)安全問題，包括root設(shè)備的技術(shù)手段, 獲得root權(quán)限后引發(fā)的潛在安全威脅，和緩解安全威脅的一些方法。為了提升效果，會分享兩個未公開的IoT設(shè)備的root漏洞。演講主要內(nèi)容如下：

1. Root IoT設(shè)備的常見技術(shù)手段: 除介紹常規(guī)的弱密碼和RCE漏洞外，會以一個中興攝像頭固件校驗漏洞為例，介紹偽造固件繞過固件校驗算法進行Root設(shè)備的方法。

2. Root IoT設(shè)備之后潛在的安全威脅：除介紹常見的DDoS, DNS劫持, 監(jiān)聽監(jiān)控等安全威脅外，會以一個DDNS智能硬件花生棒2的root漏洞為例，介紹如何將一個原本不具備wifi功能的IoT設(shè)備開啟wifi功能。

3. 緩解機制：分享常見的IoT安全機制，例如固件加密與簽名，防火墻等方法。

IoT設(shè)備因為自身與傳統(tǒng)PC設(shè)備在硬件和軟件上的巨大差異，引發(fā)了新的安全問題，本次分享專注于討論IoT設(shè)備被root后面臨的相關(guān)安全問題。

演講嘉賓介紹：

楊經(jīng)宇（Jingle）畢業(yè)于倫敦大學信息安全專業(yè),就職于騰訊反病毒實驗室，從事惡意代碼研究工作。開發(fā)的騰訊哈勃分析系統(tǒng)開源版入選過BlackHat兵器譜。熱愛IoT安全，病毒分析等領(lǐng)域的研究。

議題10：淺析WEB安全編程 

議題概要：

這次想分享的話題是,安全編碼;這次分享當中,會把開發(fā)中容易忽略又比較常見的安全問題做一些介紹,之后指導在開發(fā)中如何避免安全問題的產(chǎn)生。

演講嘉賓介紹：

湯青松 中國婚博會PHP高級工程師，2017 Devlink PHP開發(fā)者大會 安全話題演講嘉賓，2015年在網(wǎng)利寶,擔任系統(tǒng)研發(fā)以及系統(tǒng)安全建設(shè)工作，2014年在烏云網(wǎng),負責烏云眾測開發(fā)。

議題11：那些年，你怎么寫總會出現(xiàn)的漏洞 

議題概要：

  針對開發(fā)者在編碼時產(chǎn)生的意料之外的漏洞愿意以及漏洞分析，例如：PHP自身函數(shù)，PHP正則缺陷，php和mysql的不一致，格式化字串，各種防御及缺陷繞過等一系列問題。內(nèi)容包括thinkphp，WordPress，metinfo，ctf題目等各種例子

演講嘉賓介紹：

鄧永凱，web安全研究員，綠盟科技從事安全工作5年，主要負責web漏洞掃描器的開發(fā)，web漏洞挖掘及分析，web安全研究工作?，F(xiàn)在為綠盟科技應急響應中心從事web安全研究工作，曾創(chuàng)辦《安全參考》，《書安》等免費電子安全雜志，白帽子。 

如何參加看雪2017安全開發(fā)者峰會？

售票官網(wǎng)：https://www.bagevent.com/event/863807?bag_track=lf

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。