几周前震惊业界的携程信用卡信息泄露事件,互联网安全问题再度吸引了大家眼球。携程的漏洞最初由乌云漏洞报告平台报告,这究竟是怎么一回事儿?本届QCon在安全话题上为您准备了足量内容。
QCon安全专题请到了乌云漏洞报告平台联合创始人孟卓, 为大家分享《乌云的背后是阳光》。孟卓2003年开始对网络攻防技术产生浓厚兴趣,2007年毕业后加入新浪网负责线上产品与企业安全等工作。期间在安全 性测试,安全防护方案与项目研发等领域都有所涉及。在经过五年的甲方企业安全工作后,体会到安全领域的种种无奈,希望经过平台的努力让大家看到安全从业者 的重要性,以公平中立的角度令我们了解网络安全现状并促使各方面加以改善。他的演讲内容是:
随着互联网的迅猛发展,网络安全问题变的越来越扑朔迷离,它即是老牌互联网企业迅猛发展时必须去考虑的问题,也是新一代互联网生力军提升产品保障与竞争实力的一重要途径。 通过这次的分享,我希望能够从特殊的角度给大家折射出一些比较有趣、又令人深思的数据与信息:
- 互联网安全囧事儿
- 通过分析目前的安全漏洞趋势,找出软肋
- 新兴技术、产品或领域的“空白”安全
- 如何建立企业、研发、安全研究者与用户的安全生态圈
- 乌云做了那些努力与成果
希望这些信息可以让互联网安全“老兵”与“新兵”们,在今后的网络安全工作与生活中得到帮助,在今年的信息安全建设上得到一个飞跃!
携程安全架构高级经理罗启武会为大家分享《大规模日志的实时安全分析》。罗启武主要负责安全架构团队,从事安全评估、应急,安全架构,账户安全,安全系统建设等工作;同时也是【Sebug漏洞库】的创始人。
携程旅行网经常会遇到一些常见的恶意攻击,如撞号、抓数据、恶意扫描等等,对用户、服务器、带宽等资源都是一种损失。携程在这期间,也是摸着石头过河,有过痛苦也有过喜悦。
如何建立一款基于大规模日志分析的规则引擎(各种识别规则或模型)、实时计算的安全分析产品;从日志中找到一些好玩的东西,并在日志中发现各种惊喜和秘密。分享在这个过程中携程的一些辛酸历程。
安全宝的好小伙,安全宝安全团队主管尹毅在公司主要负责waf维护、数据分析、安全服务以及安全团队管理,致力于WEB安全研究,喜欢代码审计,喜欢编程。这次他会为大家分享《移动应用安全漏洞自动化挖掘与利用》:
现在已进入移动互联网时代,吃喝玩乐、办公支付等等各种应用都在抢占移动APP市场,由于安全无处不在的本质,在多年前就已经有少数人在研究移动 APP的中木马、钓鱼等等,但很少有人想到移动APP安全跟WEB安全的关系,目前移动APP大多都有跟远程服务器交互,而且基本都是以WEB API服务的方式,这使得移动APP安全跟WEB安全绑的非常紧。但往往很多漏洞都发生在这些API接口上,再加上目前这块不是很受关注,导致大多数移动 APP都没有在这块架设一些CDN、WAF、IPS等设备,使得存在漏洞的API接口完全裸露在互联网中。本次他将分享:
- 移动APP市场安全现状
- 安卓APP的反编译及漏洞挖掘
- 利用移动APP渗透的各种“猥琐”思路
- 自动化移动APP安全漏洞挖掘的程序实现
业界鼎鼎大名的脚本黑客周景平(黑哥)也是这次安全专题的演讲嘉宾。黑哥是一名有5年多的从业经验的外科医生,2012黑哥加入知道创宇,转行安全。关于这位业内最著名的传奇黑客,请见“道哥的黑板报”对黑哥周景平的专题文章:《中国黑客传说:我是超级黑》。
这次黑哥要分享的话题是《General Mass Threat》:
这个世界存在两种男人一种是“高富帅”,而另外一种就是“屌丝”。他们的生活是截然不同的!就连在网络世界里受到的攻击威胁都是不一样 的:APT(Advanced Persistent Threat)主要的攻击目标就是“高富帅”,而广大的“屌丝”是很难享受到这样的高级的待遇,只能被GMT(General Mass Threat)了...
为了我等“屌丝”那点点无聊的“自尊”,本次我主要是介绍一下“屌丝”网站受到一些攻击方式,希望更多的人在感叹关注“高富帅”的APT的同时,稍微关心一下我等“屌丝”的安全。
知道创宇一直都很关注中小企业及草根站长们的网站安全问题,我们推出了免费的网站扫描(安全联盟站长平台),免费的CDN云WAF(百度加速乐)防 御,各种应用程序漏洞预警等服务,本次议题我也会和大家介绍并分享一些我自己的安全观及与一些与“黑客”在一线战斗有趣的事情…
上海二三四五互联网研发中心高级开发经理马东京会 为互联网时代的Web安全指引道路,分享《WEB类安全实施及部署》的话题,分析目前WEB安全的形式,介绍目前国内WEB网站安全形式,并对漏洞进行图 解,举例介绍漏洞问题,同时总结经常碰到的产生漏洞的原因。最后他还会介绍如何预防WEB安全问题,通过指纹平台和代码发布平台保障代码不会被篡改,通过 日志分析平台分析目前代码中可能存在的漏洞。
技术训练营信息:
本届大会全新打造的技术训练营(原会前培训)已经上线,在训练营中,我们邀请QCon讲师为对某一个领域具体实战技能感兴趣,入门浅的朋友提供集中的培训和指导。
现在 目前已上线的训练营包括《敏捷与模块化-OSGi理论与实践》、《iOS入门与进阶》、《JavaEE,企业应用互联网化的架构选择探讨》,和许多不同类别的测试课程,以及一门认证类课程《实践中的看板》。课程详情及报名方式,请查阅技术训练营页面。
更多精彩信息不断更新中,详请跳转至大会官网查阅。如有更多需要咨询,请联系qcon@cn.infoq.com,或直接致电010-64738142。报名请点击报名页面。
