無論是不久前雷鋒網(wǎng)報(bào)道的國(guó)內(nèi)的特大侵犯公民個(gè)人信息案，某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵，超過7億條公民信息遭泄露，還是美國(guó)信用評(píng)估機(jī)構(gòu)遭黑客入侵，泄露半數(shù)美國(guó)消費(fèi)者重要信息，比如姓名、出生日期、家庭地址、社會(huì)安全號(hào) SSN、駕駛執(zhí)照 ID、信用卡信息……

安全問題已不容忽視，對(duì)企業(yè)負(fù)責(zé)人或研發(fā)人員而言，安全事故頻發(fā)無疑是一場(chǎng)災(zāi)難。而解決安全問題的根本在于做到安全開發(fā)。安全設(shè)計(jì)應(yīng)在一開始就作為項(xiàng)目開發(fā)的一部分來考慮，列入項(xiàng)目計(jì)劃和開發(fā)成本中，并在保護(hù)強(qiáng)度、成本、易用性之間進(jìn)行折衷考慮，選擇一個(gè)合適的平衡點(diǎn)。

基于此，看雪學(xué)院將于11月18日在北京舉行2017《安全開發(fā)者峰會(huì)》,峰會(huì)聚焦“安全開發(fā)”，旨在以“防”為基準(zhǔn)，安全開發(fā)為主旨，引導(dǎo)廣大企業(yè)和開發(fā)者關(guān)注移動(dòng)、智能設(shè)備、物聯(lián)網(wǎng)等領(lǐng)域的安全，提高開發(fā)和安全技巧，創(chuàng)造出更安全的產(chǎn)品。

會(huì)議時(shí)間：2017年11月18號(hào)

會(huì)議地點(diǎn)：北京朝陽區(qū)悠唐皇冠假日酒店

峰會(huì)嘉賓

段鋼：看雪科技創(chuàng)始人及CEO，國(guó)內(nèi)內(nèi)信息安全領(lǐng)域具有廣泛知名度和影響力的安全網(wǎng)站看雪學(xué)院(www.kanxue.com)的創(chuàng)始人和運(yùn)營(yíng)管理者，信息安全領(lǐng)域的知名作者，所著圖書多次獲獎(jiǎng)。長(zhǎng)期致力于信息安全技術(shù)研究，對(duì)當(dāng)前安全技術(shù)的發(fā)展有深入思考。2016年創(chuàng)建上?？囱┛萍加邢薰?，致力于PC、移動(dòng)、物聯(lián)網(wǎng)安全研究及逆向工程相關(guān)的發(fā)展，為企業(yè)提供智能設(shè)備的安全測(cè)試等產(chǎn)品和服務(wù)。

王軍：中國(guó)信息安全測(cè)評(píng)中心總工程師

談劍峰：現(xiàn)任上海市信息安全行業(yè)協(xié)會(huì)會(huì)長(zhǎng)，中國(guó)中小企業(yè)協(xié)會(huì)副會(huì)長(zhǎng)，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)委員。上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司（簡(jiǎn)稱：眾人科技）創(chuàng)始人、董事長(zhǎng)，是信息安全領(lǐng)域的資深專家。中國(guó)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)新一代領(lǐng)軍人物。

譚曉生：360公司CTO兼VP、CPO（首席隱私官），前myspace中國(guó)CTO?，F(xiàn)任奇虎360副總裁兼首席隱私官（CPO ），負(fù)責(zé)公司網(wǎng)站技術(shù)、技術(shù)運(yùn)維、數(shù)據(jù)分析與挖掘等工作。

季昕華：中國(guó)首代黑客代表人物，UCloud創(chuàng)始人之一，現(xiàn)任UCloud首席執(zhí)行官。

潘柱廷：北京啟明星辰信息技術(shù)有限公司首席戰(zhàn)略官，主要負(fù)責(zé)公司技術(shù)部門管理及公司經(jīng)營(yíng)戰(zhàn)略的規(guī)劃。

馬杰：百度安全事業(yè)部總經(jīng)理，原安全寶創(chuàng)始人兼CEO，亞州反病毒研究者組織（AVAR）理事。

龔蔚：ID Goodwell，中國(guó)黑客教父，早期十大黑客之一，綠色兵團(tuán)創(chuàng)始人，COG發(fā)起人，1999年創(chuàng)立了上海綠盟信息技術(shù)有限公司。先任WiFi萬能鑰匙CSO。

TK（于旸）：江湖外號(hào)婦科圣手，騰訊玄武實(shí)驗(yàn)室掌門人，安全焦點(diǎn)核心成員，全球最為知名的幾位白帽子之一，對(duì) Windows 操作系統(tǒng)漏洞方面研究非常深入。

陳彪：現(xiàn)任梆梆安全CTO。曾任職于Intel、Sun等國(guó)際知名公司，專注于虛擬機(jī)、移動(dòng)應(yīng)用保護(hù)等領(lǐng)域，獲得多項(xiàng)全球和國(guó)家發(fā)明專利。

高春輝：ID Polo 高，DOS 時(shí)代的 Cracker，中國(guó)個(gè)人站長(zhǎng)第一人，成功創(chuàng)辦過手機(jī)之家、ECShop、IPIP.net 等項(xiàng)目，連續(xù)創(chuàng)業(yè)的互聯(lián)網(wǎng)老將，被圈內(nèi)譽(yù)為中國(guó)互聯(lián)網(wǎng)活化石。

韓爭(zhēng)光（TB）：上海犇眾信息技術(shù)有限公司創(chuàng)始人 & CEO，國(guó)際頂級(jí)安全團(tuán)隊(duì)盤古核心。

董志強(qiáng)：“七劍”之一的騰訊云鼎實(shí)驗(yàn)室掌門人 Killer 。

袁仁廣（袁哥）：騰訊湛瀘實(shí)驗(yàn)室袁哥，2008北京奧運(yùn)會(huì)特聘信息安全專家，中國(guó)國(guó)家信息安全漏洞庫(kù)特聘專家。

段海新：清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院，網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室主任。

彭瀛：愛加密的創(chuàng)始人及董事長(zhǎng)。

譚萬里：硬土殼安全創(chuàng)始人，新安全生態(tài)實(shí)踐者

范俊偉：幾維安全聯(lián)合創(chuàng)始人、CEO

陸麟：ID：lu0，早期十大黑客之一，Windows 內(nèi)核專家，驅(qū)動(dòng)專家。

楊冀龍：ID老楊，早期十大黑客之一，安全焦點(diǎn)創(chuàng)始人，《網(wǎng)絡(luò)滲透技術(shù)》作者，知道創(chuàng)宇公司副總、CTO，著名安全組織XFOCUS的核心成員。

峰會(huì)日程

演講者及議題介紹

議題1：業(yè)務(wù)安全發(fā)展趨勢(shì)及對(duì)安全研發(fā)的挑戰(zhàn)

議題概要：

業(yè)務(wù)安全在2012年之前還只是以阿里、騰訊及攜程等為主的局部戰(zhàn)場(chǎng)，近些年隨著垂直電商、社交、移動(dòng)游戲和O2O等領(lǐng)域的快速發(fā)展，業(yè)務(wù)安全及反欺詐被更多的視線關(guān)注，但多數(shù)廠商并沒有像阿里和騰訊一樣與黑產(chǎn)相愛相殺一起成長(zhǎng)，面對(duì)黑產(chǎn)的攻擊會(huì)一時(shí)無措。作為防守方，除了對(duì)抗技術(shù)外，也要增強(qiáng)對(duì)黑產(chǎn)的認(rèn)知，了解當(dāng)前在一些業(yè)務(wù)核心問題上的對(duì)抗階段和思路。

從我們接觸的多個(gè)案例表明多數(shù)甲方在業(yè)務(wù)安全及反欺詐上很被動(dòng)的主要原因是缺乏對(duì)黑產(chǎn)的認(rèn)知，這個(gè)議題會(huì)從國(guó)內(nèi)業(yè)務(wù)安全發(fā)展過程來幫助甲方研發(fā)梳理業(yè)務(wù)安全對(duì)抗思路并對(duì)當(dāng)前主要的一些風(fēng)險(xiǎn)場(chǎng)景具體說明。

演講嘉賓介紹：

畢裕，威脅獵人創(chuàng)始人兼CEO。曾任職于騰訊和獵豹移動(dòng)，2011年起負(fù)責(zé)騰訊相關(guān)黑產(chǎn)研究及對(duì)抗。2015年起在臺(tái)北負(fù)責(zé)獵豹移動(dòng)海外安全團(tuán)隊(duì)，負(fù)責(zé)海外移動(dòng)安全的相關(guān)產(chǎn)業(yè)鏈研究及打擊。2016年與團(tuán)隊(duì)創(chuàng)業(yè)，專注互聯(lián)網(wǎng)黑產(chǎn)研究及業(yè)務(wù)安全防護(hù)。

議題2：java json 反序列化之殤

議題概要：

隨著REST API的流行，JSON的使用也越來越多，但是其中存在的安全問題卻不容忽視，特別是由于反序列化導(dǎo)致的遠(yuǎn)程代碼執(zhí)行更是威力十足。在這次演講中，主要闡述java json庫(kù)的反序列化特性導(dǎo)致的RCE。首先會(huì)介紹Gson，Jackson和Fastjson這三個(gè)最常用的JSON序列化庫(kù)的序列化和反序列的操作，接著分析其安全機(jī)制，從其安全機(jī)制上發(fā)現(xiàn)哪些潛在的安全漏洞。然后會(huì)公布一些未公開的反序列化的的payload（以Fastjson舉例說明），當(dāng)然也可能包括0day，并且會(huì)對(duì)這些payload分類解讀，從field類型，property類型的觸發(fā)機(jī)制加以概括歸納。最后會(huì)從開發(fā)，運(yùn)維的角度來防御這類安全問題。

本議題可以讓更多的開發(fā)者理解Java反序列化漏洞，做好安全編碼，做好安全防護(hù)，減少被黑客騷擾的機(jī)會(huì)。

演講嘉賓介紹：

廖新喜(xxlegend)，綠盟科技網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室安全研究員，擅長(zhǎng)代碼審計(jì)，Web漏洞挖掘，擁有豐富的代碼審計(jì)經(jīng)驗(yàn)，曾在Pycon 2015 China大會(huì)上分享Python安全編碼。安全行業(yè)從業(yè)六年，做過三年開發(fā)，先后擔(dān)任綠盟科技極光掃描器的開發(fā)和開發(fā)代表，目前專注于Web漏洞挖掘，Java反序列化漏洞挖掘，給RedHat，Amazon提交多份漏洞報(bào)告。2016年網(wǎng)絡(luò)安全周接受央視專訪。

議題3： 一石多鳥——擊潰全線移動(dòng)平臺(tái)瀏覽器

議題概要：

瀏覽器早已成為我們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠郑@種攻擊可以造成大范圍的用戶信息泄露，不僅局限于網(wǎng)站上手機(jī)上填寫的姓名電話、信用卡銀行卡等用戶基礎(chǔ)信息，更包括了我們?nèi)粘Ｉ钪蓄l繁使用的淘寶購(gòu)物，“掃一掃”、“公眾號(hào)”、“小程序”、共享單車H5、餓了么H5等等貼近生活的一線App，所有App均不同程度的使用了某種Webview的實(shí)現(xiàn)。一旦被意圖不軌者掌握并利用，后果非常嚴(yán)重。針對(duì)應(yīng)用層的攻擊頻次連年增長(zhǎng)，攻擊方式更加多元，而越來越多企業(yè)的業(yè)務(wù)又依靠互聯(lián)網(wǎng)來實(shí)現(xiàn)，防止應(yīng)用層安全失守成為企業(yè)不可回避的問題，做好應(yīng)用層安全也成為廠商和企業(yè)不可或缺乃至不可推卸的責(zé)任。

演講嘉賓介紹：

Roysue，看雪iOS板塊版主，iOS獨(dú)立安全研究員，《iOS黑客養(yǎng)成筆記：數(shù)據(jù)挖掘與提權(quán)基礎(chǔ)》電子工業(yè)出版社今年11月出版，《JavaScript內(nèi)核逆向與爆破指南》正在撰寫中。

議題4：Flash 之殤 - 漏洞之王 Flash Player 的末路  

議題概要：

Flash Player 作為最受歡迎的多媒體軟件，一直以來都受到大眾的軟件，遙想當(dāng)年的閃客精靈時(shí)代，何其風(fēng)光。自從Flash Player 榮登"漏洞之王"的寶座之后，F(xiàn)lash 就成了"千夫所指"的對(duì)象，本議題就以Flash player為題，為大家?guī)鞦lash Player漏洞利用史，展現(xiàn)Flash 漏洞利用技術(shù)和攻防對(duì)抗技巧。

演講嘉賓介紹：

仙果，十年以上的網(wǎng)絡(luò)安全從業(yè)經(jīng)驗(yàn)，致力于網(wǎng)絡(luò)攻防對(duì)抗技術(shù)研究，專注軟件漏洞的分析與利用，看雪論壇二進(jìn)制漏洞版主。

議題5：一種以IOT漏洞對(duì)抗IOT僵尸網(wǎng)絡(luò)的方法

議題概要：

由于安全機(jī)制的缺失，現(xiàn)有的iot設(shè)備往往存在較多安全問題。

另外現(xiàn)網(wǎng)中有大量OEM設(shè)備，當(dāng)IOT設(shè)備的安全問題被發(fā)現(xiàn)后，這些OEM的IOT設(shè)備的安全補(bǔ)丁往往得不到廠家及時(shí)開發(fā)。

另外由于用戶安全意識(shí)不夠，IOT設(shè)備的安全補(bǔ)丁也沒有得到用戶的及時(shí)更新。

這些問題使得大量的IOT設(shè)備已經(jīng)被僵尸網(wǎng)絡(luò)所控制。

在對(duì)抗僵尸網(wǎng)絡(luò)的過程中，人們采用的方法較多的是進(jìn)行流量清洗和關(guān)閉c&c服務(wù)器的方法。

但是這些方法并不能有效地幫助有問題的IOT設(shè)備避免受到僵尸網(wǎng)絡(luò)的下一次控制。

如何在大規(guī)模僵尸網(wǎng)絡(luò)發(fā)動(dòng)攻擊前，快速主動(dòng)地修復(fù)被僵尸網(wǎng)絡(luò)控制的IOT設(shè)備安全漏洞，從而削弱僵尸網(wǎng)絡(luò)的破壞能力?

演講者提出了一種以IOT漏洞對(duì)抗IOT僵尸網(wǎng)絡(luò)的方法。

演講嘉賓介紹：

王啟澤，看雪ID(ggggwwww)，啟明星辰ADLab（積極防御實(shí)驗(yàn)室）安全研究員&看雪智能硬件小組成員。他所研究的領(lǐng)域涵蓋移動(dòng)通信安全、IOT安全，曾在移動(dòng)通信安全領(lǐng)域有15年的工作經(jīng)驗(yàn)。 

議題6： Windows 10新子系統(tǒng)*新挑戰(zhàn)

議題概要：

本演講課題講述Windows10系統(tǒng)因?qū)inux系統(tǒng)的支持所帶來改變以及伴隨而來的安全挑戰(zhàn)。

演講嘉賓介紹：

陸麟，中國(guó)最老的十大黑客之一，Windows系統(tǒng)內(nèi)核專家！原NEC中科院軟件研究所專家。現(xiàn)任上海高重信息科技有限公司CIO。長(zhǎng)期研究系統(tǒng)內(nèi)核。多年耕耘信息安全領(lǐng)域。

議題7： 移動(dòng)APP灰色產(chǎn)業(yè)案例分析與防范

議題概要：

移動(dòng)互聯(lián)網(wǎng)時(shí)代，互聯(lián)網(wǎng)業(yè)務(wù)飛速發(fā)展，在這樣的大背景下滋潤(rùn)了一條以刷單、倒賣、刷榜、引流、推廣為主的灰色產(chǎn)業(yè)鏈。他們以低成本換取了高額的利潤(rùn)，給互聯(lián)網(wǎng)企業(yè)以及用戶都帶來了巨大的損失。加固技術(shù)、風(fēng)險(xiǎn)控制、設(shè)備指紋、驗(yàn)證碼等技術(shù)也都在飛速發(fā)展，但實(shí)際效果并不能讓人滿意。

本議題將揭露多個(gè)真實(shí)案例的技術(shù)細(xì)節(jié)，開發(fā)流程，運(yùn)營(yíng)流程，并提出一些防護(hù)建議，協(xié)議安全需要從體系上進(jìn)行加強(qiáng)。

演講嘉賓介紹：

無名俠 陳愉鑫 移動(dòng)安全愛好者，看雪論壇會(huì)員

議題8： 游戲外掛對(duì)抗的安全實(shí)踐

議題概要：

介紹什么是定制化對(duì)抗，以及定制化對(duì)抗在騰訊安全方案中的作用和定位。定制化對(duì)抗的運(yùn)營(yíng)方式，被動(dòng)的定制化對(duì)抗，基于游戲邏輯的對(duì)抗，實(shí)時(shí)介入游戲邏輯的方案能力介紹。主動(dòng)的定制化對(duì)抗，游戲運(yùn)營(yíng)前的安全評(píng)審和運(yùn)營(yíng)期的漏洞挖掘。游戲運(yùn)營(yíng)前進(jìn)行安全性提升的技術(shù)點(diǎn)分享，游戲漏洞挖掘的經(jīng)驗(yàn)分享。定制化對(duì)抗方案的建設(shè)方法、定制化對(duì)抗方案的成本代價(jià)、定制化方案的其他應(yīng)用。

演講嘉賓介紹：

胡和君，騰訊游戲安全高級(jí)工程師，從事PC端游外掛對(duì)抗工作8年，近期主要負(fù)責(zé)FPS類游戲安全對(duì)抗工作，擅長(zhǎng)定制化應(yīng)對(duì)FPS類游戲外掛風(fēng)險(xiǎn)。

議題9： 開啟IoT設(shè)備的上帝模式

議題概要：

當(dāng)今IoT設(shè)備大量涌入智能家居領(lǐng)域，IoT安全和大眾的生活息息相關(guān)。本議題計(jì)劃關(guān)注IoT設(shè)備開啟上帝模式(即root模式)的相關(guān)安全問題，包括root設(shè)備的技術(shù)手段, 獲得root權(quán)限后引發(fā)的潛在安全威脅，和緩解安全威脅的一些方法。為了提升效果，會(huì)分享兩個(gè)未公開的IoT設(shè)備的root漏洞。演講主要內(nèi)容如下：

1. Root IoT設(shè)備的常見技術(shù)手段: 除介紹常規(guī)的弱密碼和RCE漏洞外，會(huì)以一個(gè)中興攝像頭固件校驗(yàn)漏洞為例，介紹偽造固件繞過固件校驗(yàn)算法進(jìn)行Root設(shè)備的方法。

2. Root IoT設(shè)備之后潛在的安全威脅：除介紹常見的DDoS, DNS劫持, 監(jiān)聽監(jiān)控等安全威脅外，會(huì)以一個(gè)DDNS智能硬件花生棒2的root漏洞為例，介紹如何將一個(gè)原本不具備wifi功能的IoT設(shè)備開啟wifi功能。

3. 緩解機(jī)制：分享常見的IoT安全機(jī)制，例如固件加密與簽名，防火墻等方法。

IoT設(shè)備因?yàn)樽陨砼c傳統(tǒng)PC設(shè)備在硬件和軟件上的巨大差異，引發(fā)了新的安全問題，本次分享專注于討論IoT設(shè)備被root后面臨的相關(guān)安全問題。

演講嘉賓介紹：

楊經(jīng)宇（Jingle）畢業(yè)于倫敦大學(xué)信息安全專業(yè),就職于騰訊反病毒實(shí)驗(yàn)室，從事惡意代碼研究工作。開發(fā)的騰訊哈勃分析系統(tǒng)開源版入選過BlackHat兵器譜。熱愛IoT安全，病毒分析等領(lǐng)域的研究。

議題10：淺析WEB安全編程 

議題概要：

這次想分享的話題是,安全編碼;這次分享當(dāng)中,會(huì)把開發(fā)中容易忽略又比較常見的安全問題做一些介紹,之后指導(dǎo)在開發(fā)中如何避免安全問題的產(chǎn)生。

演講嘉賓介紹：

湯青松 中國(guó)婚博會(huì)PHP高級(jí)工程師，2017 Devlink PHP開發(fā)者大會(huì) 安全話題演講嘉賓，2015年在網(wǎng)利寶,擔(dān)任系統(tǒng)研發(fā)以及系統(tǒng)安全建設(shè)工作，2014年在烏云網(wǎng),負(fù)責(zé)烏云眾測(cè)開發(fā)。

議題11：那些年，你怎么寫總會(huì)出現(xiàn)的漏洞 

議題概要：

  針對(duì)開發(fā)者在編碼時(shí)產(chǎn)生的意料之外的漏洞愿意以及漏洞分析，例如：PHP自身函數(shù)，PHP正則缺陷，php和mysql的不一致，格式化字串，各種防御及缺陷繞過等一系列問題。內(nèi)容包括thinkphp，WordPress，metinfo，ctf題目等各種例子

演講嘉賓介紹：

鄧永凱，web安全研究員，綠盟科技從事安全工作5年，主要負(fù)責(zé)web漏洞掃描器的開發(fā)，web漏洞挖掘及分析，web安全研究工作?，F(xiàn)在為綠盟科技應(yīng)急響應(yīng)中心從事web安全研究工作，曾創(chuàng)辦《安全參考》，《書安》等免費(fèi)電子安全雜志，白帽子。 

如何參加看雪2017安全開發(fā)者峰會(huì)？

售票官網(wǎng)：https://www.bagevent.com/event/863807?bag_track=lf

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。