【2016阿里安全峰会】“安全攻防”烧脑博弈全解读【附PDF下载】

简介: 在2016阿里安全峰会的第二天的“安全攻防”专题论坛,腾讯电脑管家安全研究员郑文选、漏洞盒子高级安全研究员陆柏廷、安恒信息高级安全研究员郑国祥、四维创智技术副总裁司红星、UnicornTeam无线通信安全研究员张婉桥、猎户实验室首席安全研究员潘立亚、四叶草首席安全官朱利军、东巽科技CTO李薛、腾御安

一年一度的阿里安全峰会创立于2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新兴技术与发展趋势等。2016阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。

在2016阿里安全峰会的第二天的“安全攻防”专题论坛,腾讯电脑管家安全研究员郑文选、漏洞盒子高级安全研究员陆柏廷、安恒信息高级安全研究员郑国祥、四维创智技术副总裁司红星、UnicornTeam无线通信安全研究员张婉桥、猎户实验室首席安全研究员潘立亚、四叶草首席安全官朱利军、东巽科技CTO李薛、腾御安信息基础架构安全运维杨旭为我们带来了精彩演讲。

郑文选:Flash Player最新安全特性分析及绕过思路 

郑文选,腾讯电脑管家安全研究员,主要研究方向是反病毒和漏洞攻防。曾为研究Equation Group,成功破解了硬盘固件并实现了一个隐藏在其中的后门;GeekPwn 2015,成功破解海尔智能家居;GeekPwn 2016,所在团队1秒攻破微软Surface Pro4并获得“最霸技术奖”;Pwn2Own2016,所在团队3秒攻破Adobe Flash Player并最终获得了Master of Pwn称号。

一直以来,Flash Player的安全性都备受质疑,15年HackingTeam泄露事件更是将其推到了风口浪尖。Adobe痛定思痛,在随后的版本中为Flash Player增加了很多新的安全特征和防护机制,极大的增加了漏洞利用的难度。早期的利用方法完全被堵死,也鲜有看到新的利用思路出来。

在本议题中,郑文选以腾讯安全Sniper战队在Pwn2own 2016中3秒攻破Adobe Flash Player为背景,介绍Flash Player新版本中一些关键的安全特性和绕过思路,以及对未来Flash Player漏洞攻防的展望。

PDF下载:Flash Player最新安全特性分析及绕过思路

陆柏廷:典型业务逻辑漏洞挖掘

陆柏廷,漏洞盒子高级安全研究员,专注业务安全、安全开发和移动安全,负责大量安全测试项目,有丰富的安全服务及咨询经验,并参与网藤风险感知系统的研发,对安全测试和安全开发有较深的积累。

陆柏廷由用户认证这个典型业务场景的漏洞挖掘技巧,讲述了安全人员与开发人员之间的烧脑博弈,主要包括用户认证处可能遇到的各种逻辑问题及产生原因,最后总结业务逻辑漏洞高效的挖掘方法。

PDF下载:典型业务逻辑漏洞挖掘

郑国祥:威胁情报在网络犯罪侦查中的落地应用 

郑国祥,杭州安恒信息技术有限公司高级安全研究员,从事web应用安全研究,擅长漏洞挖掘,源代码分析。长期研究源码的静态和动态分析方法,熟悉各种安全web框架,防御绕过技术等。为多个src平台提供大量安全漏洞,2014年获tsrc最佳专业奖,2015 腾讯tsrc漏洞之王,发现多个CVE漏洞严重漏洞,其中包括了s2-029, s2-032等漏洞。

郑国祥介绍了web框架安全漏洞的fuzzing测试,利用静态代码流程分析,结合fuzzing跟动态检测机制挖掘框架0day,突破漏洞利用限制将鸡肋漏洞转变成严重漏洞。

PDF下载:WEB框架0day漏洞的发掘及分析经验分享

司红星:新一代自动化渗透平台的设计与实现 

司红星,四维创智技术副总裁,常年从事APT攻击与防御技术研究,擅长网络攻防技术,具备丰富的实战经验,思路猥琐,手法飘逸,在公司带队研发多个信息安全产品,将自动化渗透思路带入企业安全防御体系,致力于打造一个具备高级攻击能力的自动化渗透平台,让每一家公司都能雇得起高质量“白帽子”。

司红星谈到,新时代下,互联网安全越来越受重视,然而人才缺乏,信息安全工程师缺乏高效的渗透测试装备,传统企业雇佣不起高质量白帽子。本议题中,司红星从自动化渗透出发,讨论了如何建立一套能达到中上等渗透测试水平的自动化渗透平台,提升安全从业者工作效率,降低企业安全运维成本。 

PDF下载:新一代自动化渗透平台的设计与实现

张婉桥:短距离无线系统与航空无线电系统攻击

张婉桥,UnicornTeam无线通信安全研究员。

张婉桥以《短距离无线系统与航空无线电系统攻击》为题进行了分享。

PDF下载:短距离无线系统与航空无线电系统攻击

潘立亚:漏洞与数据的奇点临近

潘立亚,猎户实验室首席安全研究员,擅长web攻防、建模分析。

他介绍了在漏洞挖掘中分析保护数据(积极防御)的规律方法并且根据积累的数据对攻击和防御研究创作。

PDF下载:漏洞与数据的奇点临近

朱利军:浅谈“互联网+”漏洞研究之道 

朱利军,四叶草首席安全官,国内顶级安全信息专家,接触和从事安全行业至今8年。现担任CSO(首席安全官)职务兼CloverSec Labs实验室负责人。对复杂环境下的网络攻防有深入研究,负责与组织与公司相关的网络攻防大赛,各次大赛均得到业界各人士的一致好评,并创造了国内单场比赛参赛人数最多的业绩。主持并带领团队进行了国内知名厂商嵌入式设备漏洞挖掘,以及对全球25款安全杀毒软件进行漏洞研究,发现高危漏洞若干。

朱利军从“互联网+”的安全威胁入手,介绍“互联网+”下都存在哪些安全威胁和“互联网+”环境下各类安全威胁的漏洞研究思路。针对Web、安全防御软件、工业控制系统、智能联网设备等漏洞研究的方法与思路。然后站在黑客的角度思考,如何快速定位与发现“互联网+”中的漏洞,最后以几个实际的漏洞挖掘实例介绍漏洞研究的灵活思路。 

李薛:机器学习在恶意样本检测方面的实践之路

李薛,现任东巽科技CTO,中国科学基金委员会评议人。李薛曾主持过多项部委级安全科研项目,连续两年担任XDef峰会演讲嘉宾,是中国较早的一批研究网络攻防技术团队的成员,在网络安全研究方向拥有15年的经验积累,同时具有8年技术团队管理经验,现就职于东巽科技公司,带领团队从事APT研究工作。

他描述了机器学习在恶意样本检测方面,如何一步一步从零走过来,如何在问题面前做选择,如何逐步改进,如何跨坑,如何落地,还有需要重点考虑和注意的要点,以及在迭代改进的研究工作流程。

PDF下载:机器学习在恶意样本检测方面的实践之路

杨旭:Debian GNU/Linux安全合规之路

杨旭,腾御安信息基础架构安全运维。

杨旭以《Debian GNU/Linux安全合规之路》为题进行了分享。

PDF下载:Debian GNU/Linux安全合规之路


峰会实录,内容持续更新中,敬请关注!
相关文章
|
3天前
|
安全 算法 文件存储
共享资料下载,自动转PDF并添加隐形水印
云盒子企业网盘增强文件安全,支持下载时自动转PDF并加水印。管理员可配置目录规则,选择明水印、隐形水印或点阵水印。明水印直观防复制,隐形水印用于隐蔽追踪,点阵水印不影响阅读。文件格式支持度和水印类型取决于设置。此功能适用于文档安全、版权保护等场景。欲知详情或测试,访问[云盒子官网](yhz66.com)咨询客服。
|
1天前
|
JavaScript 前端开发 程序员
《JavaScript权威指南第7版》中文PDF+英文PDF+源代码 +JavaScript权威指南(第6版)(附源码)PDF下载阅读分享推荐
JavaScript是Web标准语言,广泛应用于各类浏览器,造就了其最广泛部署的地位。Node.js的兴起扩展了JavaScript的使用场景,使其成为开发者首选语言。无论新手还是经验丰富的程序员,都能受益于学习JavaScript。[《JavaScript权威指南第7版》资源链接](https://zhangfeidezhu.com/?p=224)
17 5
《JavaScript权威指南第7版》中文PDF+英文PDF+源代码 +JavaScript权威指南(第6版)(附源码)PDF下载阅读分享推荐
|
3天前
ChatGPT提问获取高质量答案的艺术PDF下载书籍推荐分享
**掌握ChatGPT高质量Prompt技巧的指南,教你艺术性提问以获取卓越答案。适用于各层次用户,提升内容创作效率。了解Prompt工程,作为对话模式触发器,有效引导ChatGPT生成人类般文本。点击获取PDF资源:[ChatGPT提问艺术](https://zhangfeidezhu.com/?p=334)**
7 0
ChatGPT提问获取高质量答案的艺术PDF下载书籍推荐分享
|
4天前
ChatGPT提问提示指南PDF下载经典分享推荐书籍,让你做好prompt工程
**掌握ChatGPT提问艺术:本书提供有效互动策略,教你构造精准提示获取专业答案。适用于各层次用户,通过实例解析提示工程,驱动模型生成定制化文本。[PDF下载](https://zhangfeidezhu.com/?p=335)**
9 0
ChatGPT提问提示指南PDF下载经典分享推荐书籍,让你做好prompt工程
|
17天前
|
IDE Java 编译器
使用Java分割PDF文件
使用Java分割PDF文件
23 1
|
20天前
|
XML Java 数据格式
Java用xpdf库获取pdf文件的指定范围文本内容
Java用xpdf库获取pdf文件的指定范围文本内容
24 1
|
18小时前
|
前端开发 Python
我们从`reportlab.pdfgen`模块中导入了`canvas`。这个模块提供了创建PDF文件所需的基本功能。
我们从`reportlab.pdfgen`模块中导入了`canvas`。这个模块提供了创建PDF文件所需的基本功能。
5 0
|
1月前
|
文字识别 开发工具 数据安全/隐私保护
印刷文字识别产品使用合集之可以识别一张电子发票有多页(多张图片,或者一个PDF文件)的这种发票吗
印刷文字识别产品,通常称为OCR(Optical Character Recognition)技术,是一种将图像中的印刷或手写文字转换为机器编码文本的过程。这项技术广泛应用于多个行业和场景中,显著提升文档处理、信息提取和数据录入的效率。以下是印刷文字识别产品的一些典型使用合集。
|
1月前
|
编解码 文字识别
印刷文字识别操作报错合集之在尝试将PDF文件转换为图片时出现了问题,具体的错误代码是415,该怎么处理
在使用印刷文字识别(OCR)服务时,可能会遇到各种错误。例如:1.Java异常、2.配置文件错误、3.服务未开通、4.HTTP错误码、5.权限问题(403 Forbidden)、6.调用拒绝(Refused)、7.智能纠错问题、8.图片质量或格式问题,以下是一些常见错误及其可能的原因和解决方案的合集。
|
16天前
|
移动开发 JavaScript 前端开发
必知的技术知识:JqueryMedia插件使用,解决在线预览及打开PDF文件
必知的技术知识:JqueryMedia插件使用,解决在线预览及打开PDF文件