2016·SSC安全峰會(huì)順利舉辦【現(xiàn)場(chǎng)干貨搶先看】
責(zé)編:mhshi |2016-09-24 12:16:562016·SSC安全峰會(huì)于9月23日在西安大唐西市酒店舉辦,期待已久的大會(huì)亮點(diǎn)也終于揭曉啦,由四葉草安全主辦的SSC安全峰會(huì)是西部首屆網(wǎng)絡(luò)安全盛會(huì),同時(shí)也是陜西省國(guó)家網(wǎng)絡(luò)安全宣傳周的重點(diǎn)活動(dòng)之一,首屆SSC安全峰會(huì)以《安全·傳繼》為主題,凝聚了全國(guó)網(wǎng)絡(luò)安全行業(yè)的中堅(jiān)力量,向年輕后輩傳遞了黑客的正能量精神,為安全行業(yè)輸送人才,傳遞價(jià)值,與業(yè)界同行共同擔(dān)起國(guó)家網(wǎng)絡(luò)安全的重任。
四葉草安全的CEO馬坤作為主辦方代表現(xiàn)場(chǎng)致辭,馬坤向大家傳達(dá)了我們舉辦本次安全峰會(huì)的初衷。過(guò)去四葉草安全舉辦了SSCTF以及BugScan沙龍,面對(duì)一群?jiǎn)渭冹`敏的安全愛(ài)好者,我深知他們面對(duì)未知方向的不知所措,而老一輩的安全愛(ài)好者們,經(jīng)歷過(guò)困難與挫折,但更重要的,是他們心中不曾磨滅的熱情與堅(jiān)持到底的勇氣,他們的正能量精神,需要永遠(yuǎn)的傳繼下去。現(xiàn)場(chǎng)馬坤還感謝了所有支持的本次大會(huì)的省委領(lǐng)導(dǎo)以及贊助商們,還有眾多的安全同行、媒體及用戶,我們希望能夠?qū)SC安全峰會(huì)永遠(yuǎn)的堅(jiān)持下去,并借此推動(dòng)西部安全力量的快速發(fā)展。
四葉草安全BugScan社區(qū)負(fù)責(zé)人、 VP Yan
Yan現(xiàn)場(chǎng)向大家分享了過(guò)去一年里我們社區(qū)所做的事,Yan最開(kāi)始只是我們社區(qū)的一名白帽子,從開(kāi)始學(xué)習(xí)插件到后來(lái)成為社區(qū)的核心成員,最終,選擇了留在四葉草安全。Yan以一個(gè)框架、兩個(gè)開(kāi)源、三個(gè)助手、12期擂臺(tái)賽、佰萬(wàn)獎(jiǎng)勵(lì)總結(jié)了過(guò)去一年里社區(qū)的成長(zhǎng)歷程,當(dāng)然,明年的社區(qū)將會(huì)有更好玩的擂臺(tái)賽、更多的工具加入、更豐富的經(jīng)歷,以及更熱心的社區(qū),當(dāng)然,這一切只為迎接更牛X的你,和我們一起變的更牛X。
最后,由Yan現(xiàn)場(chǎng)為社區(qū)做出突出貢獻(xiàn)的白帽子們頒發(fā)榮譽(yù)證書:
他們分別是:M、Max、色豹、烽火戲諸侯、野地和尚
楊卿:《先定一個(gè)小目標(biāo)》
楊卿說(shuō)他從事這個(gè)行業(yè)是因?yàn)橛X(jué)得黑客很酷,也很帥(但小編覺(jué)得他已經(jīng)同時(shí)達(dá)到了這兩點(diǎn),害羞臉),他在現(xiàn)場(chǎng)通過(guò)自己在360獨(dú)角獸團(tuán)隊(duì)的經(jīng)歷,來(lái)分享成就小目標(biāo)的幸福感,他說(shuō),這個(gè)行業(yè)并不適合賺錢,但他可以讓你的金錢與成就感達(dá)到平衡。只要保持熱情,找一個(gè)領(lǐng)域,奔著你的小目標(biāo),耐心并堅(jiān)持下去。
馬杰《世界的藍(lán)軍》
在計(jì)算機(jī)發(fā)展的時(shí)代,每個(gè)人都有一個(gè)黑客夢(mèng),那么你內(nèi)心的黑客是什么樣呢?馬杰說(shuō),黑客是網(wǎng)絡(luò)的守護(hù)者,也是這個(gè)世界的免疫系統(tǒng),過(guò)去我們心目中黑客的形象也在悄悄的發(fā)生著變化,他們向往信息自由的平等傳播,在守護(hù)網(wǎng)絡(luò)安全的道路上,堅(jiān)定的扛起了責(zé)任。事實(shí)上我們將更需要黑客,他們作為世界的藍(lán)軍,將對(duì)網(wǎng)絡(luò)安全發(fā)揮更大的作用。
黃勝藍(lán)《基于深度學(xué)習(xí)進(jìn)行數(shù)據(jù)防偽》
在互聯(lián)網(wǎng)安全攻防中除了漏洞的挖掘與修復(fù)之外,數(shù)據(jù)的偽造與防偽也是重要的戰(zhàn)場(chǎng)。
黃勝藍(lán)現(xiàn)場(chǎng)分享如何利用深度學(xué)習(xí)進(jìn)行HTTP協(xié)議UA字段的防偽為例進(jìn)行講解,他指出未來(lái)攻防對(duì)于數(shù)據(jù)的分析能力將愈發(fā)重要,正如深度學(xué)習(xí)在計(jì)算機(jī)視覺(jué)、自然語(yǔ)言處理等領(lǐng)域帶來(lái)的革命一樣,未來(lái)在安全領(lǐng)域也將會(huì)產(chǎn)生深遠(yuǎn)的影響。
趙帥《如何基于Janus平臺(tái)發(fā)現(xiàn)wormable 》
趙帥現(xiàn)場(chǎng)分享了盤古團(tuán)隊(duì)近期的一個(gè)實(shí)驗(yàn)案例,他們通過(guò)Janus平臺(tái),經(jīng)歷了特征提取、掃描、深度分析后最終確認(rèn),發(fā)現(xiàn)了某安裝量達(dá)數(shù)億級(jí)的android瀏覽器存在嚴(yán)重遠(yuǎn)程命令執(zhí)行漏洞,可導(dǎo)致靜默安裝任意應(yīng)用。最后,希望Janus能成為你的一把屠龍寶刀。
小刀《webshell進(jìn)化史》
小刀現(xiàn)場(chǎng)展示了幾個(gè)流行的webshell,但是根據(jù)Webshell的返回包發(fā)現(xiàn),具有學(xué)習(xí)以及雙向檢測(cè)能力的WAF可以封殺市面上大部分的Webshell,那如何跳過(guò)呢?可以通過(guò)以下思路:
1.無(wú)特殊關(guān)鍵詞及變量名。
2.靈活用get,post等提交方式。
3.提交數(shù)據(jù)附加在HTTP頭多個(gè)字段里,如cookie,UA等。
4.修改X-forwarded-for,UA頭等,避免溯源。
5.只提交真正的需求,避免無(wú)謂的交互。
6.第三方中轉(zhuǎn),不從原路返回?cái)?shù)據(jù)包。
7.雙向傳輸加密,自定義加解密算法。
回到本次主題,究竟應(yīng)該如何定義Webshell?
楊哲《BCBP登機(jī)牌安全》
楊哲現(xiàn)場(chǎng)演示了國(guó)內(nèi)外登機(jī)牌的條碼解析以及安全隱患及漏洞分析。小編為大家整理了隱患信息泄露的幾大風(fēng)險(xiǎn),1、通過(guò)PNR跟蹤乘客信息;2、航空公司網(wǎng)站漏洞導(dǎo)致PNR等信息泄露;3、第三方接口查詢;4、人為因素泄露。最后,希望大家在曬登機(jī)牌的時(shí)候,千萬(wàn)注意遮住條碼,保護(hù)個(gè)人隱私安全。
魏強(qiáng)由其博士生代為分享《工業(yè)控制系統(tǒng)威脅現(xiàn)狀與脆弱性分析》
現(xiàn)場(chǎng)介紹了工控系統(tǒng)面臨的四個(gè)方面的威脅和五種主要的風(fēng)險(xiǎn)。重點(diǎn)分析近年來(lái)工控系統(tǒng)漏洞的整體發(fā)展趨勢(shì),從操作系統(tǒng)、應(yīng)用軟件、工控設(shè)備、代碼設(shè)計(jì)、工控協(xié)議等5個(gè)方面進(jìn)行分類介紹。從攻擊者視角分析PLC攻擊面,圍繞運(yùn)行時(shí)系統(tǒng)、文件系統(tǒng)、控制器管理系統(tǒng)、操作系統(tǒng)、固件等目標(biāo)的分析攻擊目的和意圖。工控系統(tǒng)安全正經(jīng)歷從縱深防御到內(nèi)生安全的演化,給出了一些動(dòng)態(tài)防御的方法和思路。
朱利軍《方程式CISCO ASA SNMP漏洞分析》
針對(duì)最近剛公布的CISCO ASA的SNMP漏洞進(jìn)行詳細(xì)的漏洞復(fù)現(xiàn)與分析,用逆向?qū)W習(xí)的思維通過(guò)公開(kāi)的POC分析調(diào)試漏洞,介紹漏洞觸發(fā)的真實(shí)原因,已經(jīng)漏洞存在嚴(yán)重危害性的根本原因。通過(guò)對(duì)漏洞的復(fù)現(xiàn),介紹了漏洞的具體細(xì)節(jié)和利用的條件。
圓桌對(duì)話
作為本次高峰論壇的高潮部分,六位大神(張百川、冰河、老鷹、林勇、黑客叔叔、張瑞冬)的同臺(tái)讓現(xiàn)場(chǎng)掌聲不斷,作為安全圈的前輩與新生代的代表們,他們現(xiàn)場(chǎng)討論了如何挖掘安全研究的愛(ài)好,以及該怎樣學(xué)習(xí),各位大神通過(guò)自己的經(jīng)歷,給出了精彩的答案,當(dāng)然提及最多的,就是興趣與堅(jiān)持,希望所有想要從事安全研究的人,都能踏踏實(shí)實(shí)的學(xué)習(xí)技術(shù)領(lǐng)域的系統(tǒng)知識(shí),不怕枯燥,堅(jiān)持下去,相信內(nèi)心的小花火,都能得到滿足。現(xiàn)場(chǎng)最后,前輩們也給出了年輕一代安全從業(yè)者的寄語(yǔ),希望他們保持熱愛(ài),不忘初心。
與此同時(shí)插播現(xiàn)場(chǎng)挑戰(zhàn)賽的盛況
5大展臺(tái)(排名不分先后)
百度安全
360補(bǔ)天平臺(tái)
SSCTF的FlappyPig團(tuán)隊(duì)(京東JSRC贊助支持)
CloverSec Labs
BugScan社區(qū)
本次2016·SSC安全峰會(huì)23日議程已經(jīng)圓滿的結(jié)束,感謝所有朋友對(duì)大會(huì)的支持,前輩們的正能量精神我們將繼續(xù)傳繼下去,期待下次再見(jiàn)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧