2017第二届SSC安全峰会

2017第二届SSC安全峰会议题介绍

《玩转现代 Fuzz 之 FFmpeg 漏洞挖掘》

谢俊东 蚂蚁金服巴斯光年实验室安全研究员

以 FFmpeg 的漏洞挖掘过程为切入点,深入浅出介绍了如何使用现代 Fuzz 工具对网络协议进行 Fuzz,并在对 RTMP 协议 Fuzz 的过程中发现了多处代码导致的严重漏洞 CVE-2017-11665。同时分享一些在 Fuzz 过程中的难点和注意点。

《论一种简易挖掘iOS漏洞的方法》

陈小波(DM557) 盘古团队成员

通过温故知新的方法,该议题会分享我们在学习以前被修补的iOS老漏洞的时候发现新的漏洞的一些经验,而这些漏洞通常都在同一个函数,同一个上下文中,其中有些漏洞的成因和之前被修补过的漏洞是一样的。甚至,有些漏洞是因为苹果错误的修补而存在的,那么,让我们来看看那些苹果历史上有趣的漏洞修补之战。

《基于Python的自动化代码审计》

邓永凯 绿盟科技研发中心研究员、BugScan社区核心成员

内容分为四大块:常规漏洞、静态分析、动态分析、自动化应用

《法律有国界,网络安全无国界——新形势下的白帽子成长与漏洞发现报告机制探讨》

白健 补天安全负责人

从中国面临的网络安全威胁入手,结合我国的相关法律现状,分析白帽子的漏洞发现报告机制,探讨新法实施带来的机遇和挑战;以补天为例,探讨网络安全人才培养的新方向,新模式,新思维,正面引导、培养网络安全人才,共同捍卫全社会的网络安全;从白帽子角度出发,探讨成长路径,不忘初心。

《聚焦移动支付安全,构建纵深防御体系》

陈绍良 普华永道风险管理资深专家

随着当前社会经济的飞速发展,网络消费的普遍化 ,移动支付因其独特的便捷性成为主流的消费支付方式;与此同时,针对移动支付安全同时,针对移动支付安全威胁日益增多,如何威胁日益增多,如何增强该领域的安全,成为亟待解决重要课题。强该领域的安全,成为亟待解决重要课题。 当前移动支付的类型分析及行业特点业特点 移动支付典型风险场景分析险场景分析 移动支付组成要素风险分析成要素风险分析 移动支付纵深防御体系的构建

《IOT隐性“安全战场”之独角兽秘史》

杨卿 - Ir0nSmith 360无线电安全研究部、UnicornTeam

讲解IOT通信管道最新攻防技术、破解秀(今年独角兽在BlackHat USA 2017&DEFCON25的议题技术精华),并分享独角兽从无名到致命一路走来的心路历程、团队文化、情怀、安全人才管理方法等

《人工智能在Web安全领域的应用》

冯景辉 百度安全事业部技术总监

传统的基于攻击特征的安全防护,存在着特征库难于管理、较高的误报率和漏报率等诸多问题,安全防护效果难以进一步提高,而近年来出现的基于语法规则的检测虽然在一定程度上弥补了特征的不足,但是因为不理解业务,对于有着更高智能的攻击也显得捉襟见肘。演讲将从百度在安全领域的实践出发,与大家一起探讨通过人工智能、机器学习领域的经典方法形成的分析系统效果,和他们如何与传统防护系统相互补充的经验。

《理想与现实-浅谈机器学习和专家经验在Webshell发现中的作用》

周宏斌 北京兰云科技有限公司联合创始人兼高级副总裁

现有安全产品,无论WAF,还是IDS/IPS、FW,或者威胁情报,都是通过分析文件内容或者文件名来识别WebShell的。这类机制的一个缺陷是攻击者通过修改WebShell内容,可轻易躲过检测,另一个缺陷是大量的误报淹没了有效告警,让安全人员无所适从。大数据技术在商业领域已获得成功的验证,如何在安全领域发挥其应有价值,是亟待深入研究和实践的。本议题以Webshell发现的真实案例为切入点,探讨如何突破传统检测思路,结合机器学习技术和专家经验,更有效的发现真实的入侵事件。 议题亮点: 亮点一:分析传统WebShell检测机制工作原理及其缺陷; 亮点二:通过真实案例,分析如何利用大数据技术发现WebShell; 亮点三:探讨如何更有效的将大数据技术和安全进行结合,提升安全防御能力。

会议基本信息

主办方: 四叶草

主办地点: 西安

立即报名