2015年11月19日-21日,由CSDN重磅打造的 SDCC 2015(中国软件开发者嘉年华) 将在北京举行。作为年度的技术盛会,主办方将邀请近百名国内外业界领袖和知名技术专家共论技术热点与最佳实践,揭示下一代软件开发技术趋势与对各行业的深刻影响。目前火热报名中。
今年SDCC大会,除了国内外技术大牛云集的全体大会主题演讲,主办方还精心筹备了九大技术专场论坛、五场特色活动及展览展示。 九大技术专场论坛包括:智能算法、架构实践、前端开发、新一代数据库、编程语言、研发管理实践、安全、微信开发、产品与设计。五场特色活动有:老友记、程序人生、创业者说、讲师夜话、养生堂。
本论坛力邀业界知名安全技术人士分享安全领域的技术热点,包括:安全开源框架、常见漏洞规避方法、业务安全之帐号体系与密码、运维安全等等。 更多精彩内容,尽在SDCC 2015安全技术专场,快来【抢票】吧。
出品人: 瞌睡龙——乌云安全研究员、Piaca——乌云安全研究员
主持人:浩天——乌云漏洞报告平台负责人
乌云漏洞报告平台负责人之一,具有多年安全从业经验,长期致力于各种漏洞的研究与利用。
瘦蛟舞——乌云安全研究员
一名乌云白帽子,曾就职于绿盟科技从事渗透测试/代码审计/安全培训/客户端安全测试等相关工作。拥有众多大型安全服务/安全测试项目的工作经验。现在就职于互联网安全公司专职从事移动安全方向研究。对Android 应用的安全审计和漏洞挖掘有很深的造诣。
演讲议题: 《安卓应用安全解析》
议题简介: 本次演讲内容主要分四大块讲解Android 应用下主流攻击手法/常见漏洞/经典案例以及安全开发技巧。其中主流攻击手法讲解包括代理抓包挖掘服务端 API漏洞,反编译静态分析逆向代码,无源码动态调试安卓应用,hook 系统或者应用API 对应用行为数据等进行观察和篡改。常见漏洞环节主要包括应用组件泄露,WebView 相关漏洞,权限绕过,敏感信息泄露,代码执行等等。乌云经典案例环境主要是展示一些乌云上安卓应用漏洞一些典型案例介绍此类漏洞的危害,挖掘手法以及厂商的处理方式。
安全开发技术章节会讲解一些安全开源框架,以及常见漏洞规避方法,还有一些开发中隐藏的风险注意事项等。
张瑞冬——双螺旋攻防实验室负责人
简介: 网名Only_guest。崇尚自由、自学成才的少年黑客。网络世界规则的破坏者,重建者,制订者。2015年受邀参加360、阿里巴巴、乌云等多个安全会议,并演讲如(深度企业渗透测试)(无孔不入)等议题。2015年受邀参加中国互联网安全大会担任讲师。
许传荣——双螺旋攻防实验室渗透测试工程师
简介: PHP程序员出身,误入网络异度空间且被它吸引,在这条道路上越走越远。 擅长Web开发与Web攻防技术,是一位悠闲的白帽黑客,喜欢研究新技术、使用暗科技。他认为,一个程序员的成长血泪史既是一位白帽黑客的养成日记。2014年加入双螺旋实验室PKAV团队,担任渗透测试工程师。2014年主导嘲风数据平台编码工作至今。
演讲议题: 白帽程序员养成日记
议题简介: 一个小白程序员最终变成独当一面的白帽程序员中间一定经历了一段血泪史。
对安全漏洞缺乏认知,编码逻辑不当,框架使用错误,只能怪自己太年轻。版本控制,第三方组件、第三方程序,但第三方又同样间歇性不靠谱。运维程序默认配置,口令不当,成为黑客入侵的另一道途径。在一个安全研究团队中身兼程序员与渗透测试的身份是一件刺激有趣的事情。本次的议题就在讲诉一位小白程序员的白帽成长史。
胡乾威——乌云安全研究员
简介: 乌云安全研究员。在安全行业超过11年研发工作经历。曾任职于绿盟,百度等公司。发布的漏洞涉及IE,Windows,安卓应用等方面。现就职于乌云从事智能设备相关的安全研究。
演讲议题: 《从SSL协议谈起 》
议题简介: 智能设备在互联的过程中需要可靠通信作为安全的基础。该分享以回顾作为标准的安全通讯协议SSL开始,探讨加密协议和算法在智能设备上的选择和使用。
王润辉——携程安全产品经理
简介: 携程安全产品经理。wooyun资深白帽子,多家src安全专家,作为国内电商领域较早的一批安全人员,在与黑客黑产的攻防实践中积累了丰富的Web安全和业务安全经验,并与2013年建立了唯品会公司的风控体系。2015年8月加入携程,负责携程业务安全产品等相关安全方面。现精力主要在业务安全,数据建模,运维安全,移动App安全等,并依然与黑产长期进行各种安全对抗。
演讲议题: 《业务安全之帐号体系与密码 》
议题简介: 本议题主要从帐号体系与业务相关性的影响,包括从羊毛党为首的注册套利问题到以盗用资金为首的资金欺诈问题,从帐号体系角度出发,探究在入口到底应该做哪些防护,并对当前较热的帐号信息泄漏入手,希望不断弱化密码在实际场景中的应用,在未来通过技术的发展和自身体系的完善,让密码Say Goodbye!
李普君——双螺旋攻防实验室安全研究员
简介: 网名长短短,PKAV团队成员,HTML规范贡献者,HTML5sec编辑人。
演讲议题: 《Web 2.0 安全杂谈》
议题简介: 本议题着重讲解Opener 反向劫持详解以及修补,oauth 漏洞的生命力以及正确的修补方式;本地存储缓存 JS 带来的安全隐患;浏览器最新的第三方资源防篡改技术 SRI 详解(运营商防劫持)以及如何低成本的提升网站的网站前端安全CSP。
宗悦——万达电商信息安全工程师
简介: 万达电商信息安全工程师(即:万达电商),拥有5年信息安全工作经验。现负责企业入侵检测/系统,日志分析系统,安全行为分析系统的搭建与日常维护。曾担任网信金融网络安全工程师,当当网安全工程师。
演讲议题: 《运维安全那些事》
议题简介: 运维安全是企业安全保障的基石,不同于Web、移动或者业务安全,运维安全环节出现问题往往会比较严重。一方面运维服务位于底层,涉及到服务器,网络设备,基础设施应用等,一旦出现安全问题,直接影响到服务器的安全;另一方面,一个运维漏洞的出现,通常反映了一个企业的安全规范、流程或者是规范、流程的执行出现了问题。这种情况下,可能很多服务器都存在这类安全问题,也有可能这个服务还存在其他的运维安全问题。
吕伟——小米安全工程师
简介: 小米安全工程师。网名呆子不开口,擅长Web安全。著名白帽子,曾在乌云提交多个精华漏洞。第一个微博蠕虫作者,具有多年的互联网安全经验,曾任职于新浪、诺基亚、美团,现任职小米安全部,负责应用安全及数据安全。
演讲议题: 《我的通行你的证》
议题简介: 本次演讲内容将介绍国内主流大互联网公司的用户通行证或身份认证方面的一些业务场景(如二维码扫描登陆、单点登陆、第三方登陆……)对应的相关安全问题,并会结合乌云上的一些真实的用户身份盗用的漏洞案例来进行分析讲解。探讨一些多站点单点登陆架构方面的一些安全风险,以及对应的修复方案。用户被盗号,往往不是密码泄露那么简单。
值得一提的是,由CSDN举办的 SDCC 2015中国软件开发者嘉年华 将于11月19-21日在北京举行,本次大会涵盖:新型数据库、编程语言、工具与平台、产品与设计、前端开发、算法、微信开发、架构实践、安全等九大分 论坛,届时国外知名讲师将分享所在领域的最佳实践。 【 点击这里抢票 】