【2016阿里安全峰会】“安全攻防”烧脑博弈全解读【附PDF下载】

简介: 在2016阿里安全峰会的第二天的“安全攻防”专题论坛,腾讯电脑管家安全研究员郑文选、漏洞盒子高级安全研究员陆柏廷、安恒信息高级安全研究员郑国祥、四维创智技术副总裁司红星、UnicornTeam无线通信安全研究员张婉桥、猎户实验室首席安全研究员潘立亚、四叶草首席安全官朱利军、东巽科技CTO李薛、腾御安

一年一度的阿里安全峰会创立于2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新兴技术与发展趋势等。2016阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。

在2016阿里安全峰会的第二天的“安全攻防”专题论坛,腾讯电脑管家安全研究员郑文选、漏洞盒子高级安全研究员陆柏廷、安恒信息高级安全研究员郑国祥、四维创智技术副总裁司红星、UnicornTeam无线通信安全研究员张婉桥、猎户实验室首席安全研究员潘立亚、四叶草首席安全官朱利军、东巽科技CTO李薛、腾御安信息基础架构安全运维杨旭为我们带来了精彩演讲。

郑文选:Flash Player最新安全特性分析及绕过思路 

郑文选,腾讯电脑管家安全研究员,主要研究方向是反病毒和漏洞攻防。曾为研究Equation Group,成功破解了硬盘固件并实现了一个隐藏在其中的后门;GeekPwn 2015,成功破解海尔智能家居;GeekPwn 2016,所在团队1秒攻破微软Surface Pro4并获得“最霸技术奖”;Pwn2Own2016,所在团队3秒攻破Adobe Flash Player并最终获得了Master of Pwn称号。

一直以来,Flash Player的安全性都备受质疑,15年HackingTeam泄露事件更是将其推到了风口浪尖。Adobe痛定思痛,在随后的版本中为Flash Player增加了很多新的安全特征和防护机制,极大的增加了漏洞利用的难度。早期的利用方法完全被堵死,也鲜有看到新的利用思路出来。

在本议题中,郑文选以腾讯安全Sniper战队在Pwn2own 2016中3秒攻破Adobe Flash Player为背景,介绍Flash Player新版本中一些关键的安全特性和绕过思路,以及对未来Flash Player漏洞攻防的展望。

PDF下载:Flash Player最新安全特性分析及绕过思路

陆柏廷:典型业务逻辑漏洞挖掘

陆柏廷,漏洞盒子高级安全研究员,专注业务安全、安全开发和移动安全,负责大量安全测试项目,有丰富的安全服务及咨询经验,并参与网藤风险感知系统的研发,对安全测试和安全开发有较深的积累。

陆柏廷由用户认证这个典型业务场景的漏洞挖掘技巧,讲述了安全人员与开发人员之间的烧脑博弈,主要包括用户认证处可能遇到的各种逻辑问题及产生原因,最后总结业务逻辑漏洞高效的挖掘方法。

PDF下载:典型业务逻辑漏洞挖掘

郑国祥:威胁情报在网络犯罪侦查中的落地应用 

郑国祥,杭州安恒信息技术有限公司高级安全研究员,从事web应用安全研究,擅长漏洞挖掘,源代码分析。长期研究源码的静态和动态分析方法,熟悉各种安全web框架,防御绕过技术等。为多个src平台提供大量安全漏洞,2014年获tsrc最佳专业奖,2015 腾讯tsrc漏洞之王,发现多个CVE漏洞严重漏洞,其中包括了s2-029, s2-032等漏洞。

郑国祥介绍了web框架安全漏洞的fuzzing测试,利用静态代码流程分析,结合fuzzing跟动态检测机制挖掘框架0day,突破漏洞利用限制将鸡肋漏洞转变成严重漏洞。

PDF下载:WEB框架0day漏洞的发掘及分析经验分享

司红星:新一代自动化渗透平台的设计与实现 

司红星,四维创智技术副总裁,常年从事APT攻击与防御技术研究,擅长网络攻防技术,具备丰富的实战经验,思路猥琐,手法飘逸,在公司带队研发多个信息安全产品,将自动化渗透思路带入企业安全防御体系,致力于打造一个具备高级攻击能力的自动化渗透平台,让每一家公司都能雇得起高质量“白帽子”。

司红星谈到,新时代下,互联网安全越来越受重视,然而人才缺乏,信息安全工程师缺乏高效的渗透测试装备,传统企业雇佣不起高质量白帽子。本议题中,司红星从自动化渗透出发,讨论了如何建立一套能达到中上等渗透测试水平的自动化渗透平台,提升安全从业者工作效率,降低企业安全运维成本。 

PDF下载:新一代自动化渗透平台的设计与实现

张婉桥:短距离无线系统与航空无线电系统攻击

张婉桥,UnicornTeam无线通信安全研究员。

张婉桥以《短距离无线系统与航空无线电系统攻击》为题进行了分享。

PDF下载:短距离无线系统与航空无线电系统攻击

潘立亚:漏洞与数据的奇点临近

潘立亚,猎户实验室首席安全研究员,擅长web攻防、建模分析。

他介绍了在漏洞挖掘中分析保护数据(积极防御)的规律方法并且根据积累的数据对攻击和防御研究创作。

PDF下载:漏洞与数据的奇点临近

朱利军:浅谈“互联网+”漏洞研究之道 

朱利军,四叶草首席安全官,国内顶级安全信息专家,接触和从事安全行业至今8年。现担任CSO(首席安全官)职务兼CloverSec Labs实验室负责人。对复杂环境下的网络攻防有深入研究,负责与组织与公司相关的网络攻防大赛,各次大赛均得到业界各人士的一致好评,并创造了国内单场比赛参赛人数最多的业绩。主持并带领团队进行了国内知名厂商嵌入式设备漏洞挖掘,以及对全球25款安全杀毒软件进行漏洞研究,发现高危漏洞若干。

朱利军从“互联网+”的安全威胁入手,介绍“互联网+”下都存在哪些安全威胁和“互联网+”环境下各类安全威胁的漏洞研究思路。针对Web、安全防御软件、工业控制系统、智能联网设备等漏洞研究的方法与思路。然后站在黑客的角度思考,如何快速定位与发现“互联网+”中的漏洞,最后以几个实际的漏洞挖掘实例介绍漏洞研究的灵活思路。 

李薛:机器学习在恶意样本检测方面的实践之路

李薛,现任东巽科技CTO,中国科学基金委员会评议人。李薛曾主持过多项部委级安全科研项目,连续两年担任XDef峰会演讲嘉宾,是中国较早的一批研究网络攻防技术团队的成员,在网络安全研究方向拥有15年的经验积累,同时具有8年技术团队管理经验,现就职于东巽科技公司,带领团队从事APT研究工作。

他描述了机器学习在恶意样本检测方面,如何一步一步从零走过来,如何在问题面前做选择,如何逐步改进,如何跨坑,如何落地,还有需要重点考虑和注意的要点,以及在迭代改进的研究工作流程。

PDF下载:机器学习在恶意样本检测方面的实践之路

杨旭:Debian GNU/Linux安全合规之路

杨旭,腾御安信息基础架构安全运维。

杨旭以《Debian GNU/Linux安全合规之路》为题进行了分享。

PDF下载:Debian GNU/Linux安全合规之路


峰会实录,内容持续更新中,敬请关注!
相关文章
|
1月前
|
数据采集 Web App开发 JavaScript
Puppeteer自动化:使用JavaScript定制PDF下载
在现代Web开发中,自动化工具如Puppeteer可显著提升效率并减少重复工作。Puppeteer是一款强大的Node.js库,能够控制无头Chrome或Chromium浏览器,适用于网页快照生成、数据抓取及自动化测试等任务。本文通过示例展示了如何使用Puppeteer自动化生成定制化的PDF文件,并介绍了如何通过配置代理IP、设置user-agent和cookie等技术增强自动化过程的灵活性与稳定性。具体步骤包括安装Puppeteer、配置代理IP、设置user-agent和cookie等,最终生成符合需求的PDF文件。此技术可应用于报表生成、发票打印等多种场景。
118 6
Puppeteer自动化:使用JavaScript定制PDF下载
|
3月前
|
XML 缓存 JSON
为什么浏览器中有些图片、PDF等文件点击后有些是预览,有些是下载
为什么浏览器中有些图片、PDF等文件点击后有些是预览,有些是下载
265 0
|
26天前
|
前端开发 API
前端界面生成PDF并导出下载
【10月更文挑战第21天】利用合适的第三方库,你可以在前端轻松实现界面生成 PDF 并导出下载的功能,为用户提供更方便的文档分享和保存方式。你还可以根据具体的需求进一步优化和定制生成的 PDF 文件,以满足不同的业务场景要求。
|
2月前
|
移动开发 前端开发 JavaScript
使用html-to-image代替html2canvas,结合jspdf实现下载pdf(下载截图下载前端dom元素)
本文介绍了在前端项目中,当使用`html2canvas`遇到问题时,如何使用`html-to-image`库作为替代方案,结合`jspdf`实现将DOM元素生成为PDF文件并提供下载。文章首先讨论了`html2canvas`可能遇到的问题,并提供了该库的使用示例代码。随后,详细介绍了`html-to-image`库的安装和使用方法,展示了如何将DOM元素转换为Canvas,再利用`jspdf`生成PDF文件。最后,文章通过示例代码说明了整个转换和下载的过程,并展示了效果截图。
99 0
|
1月前
|
Java Apache Maven
将word文档转换成pdf文件方法
在Java中,将Word文档转换为PDF文件可采用多种方法:1) 使用Apache POI和iText库,适合处理基本转换需求;2) Aspose.Words for Java,提供更高级的功能和性能;3) 利用LibreOffice命令行工具,适用于需要开源解决方案的场景。每种方法都有其适用范围,可根据具体需求选择。
|
1月前
|
Java Apache Maven
Java将word文档转换成pdf文件的方法?
【10月更文挑战第13天】Java将word文档转换成pdf文件的方法?
198 1
|
1月前
|
索引 Python
PDF文件页面提取操作小指南
PDF文件页面提取操作小指南
|
1月前
|
Python
Python对PDF文件页面的旋转和切割
Python对PDF文件页面的旋转和切割
|
1月前
|
计算机视觉 Python
Python操作PDF文件
Python操作PDF文件
|
1月前
|
JSON 数据格式
LangChain-20 Document Loader 文件加载 加载MD DOCX EXCEL PPT PDF HTML JSON 等多种文件格式 后续可通过FAISS向量化 增强检索
LangChain-20 Document Loader 文件加载 加载MD DOCX EXCEL PPT PDF HTML JSON 等多种文件格式 后续可通过FAISS向量化 增强检索
78 2
下一篇
无影云桌面