乌云漏洞报告平台探秘、携程大规模日志实时安全分析：QCon 北京 2014 安全专题

距第六届 QCon 全球软件开发大会（北京站）2014 开幕仅剩 3 周，大会的日程信息已经相当完整，欢迎在日程页查阅。大会的演讲内容在官网： http://www.qconbeijing.com ，以及 InfoQ 微博、微信公众帐号的最新播报： @InfoQ 、【infoqchina】不断更新。

历届 QCon 大会门票都会提前售罄，如欲报名报请速点击报名页面。

几周前震惊业界的携程信用卡信息泄露事件，互联网安全问题再度吸引了大家眼球。携程的漏洞最初由乌云漏洞报告平台报告，这究竟是怎么一回事儿？本届QCon 在安全话题上为您准备了足量内容。

QCon 安全专题请到了乌云漏洞报告平台联合创始人孟卓，为大家分享《乌云的背后是阳光》。孟卓 2003 年开始对网络攻防技术产生浓厚兴趣，2007 年毕业后加入新浪网负责线上产品与企业安全等工作。期间在安全性测试，安全防护方案与项目研发等领域都有所涉及。在经过五年的甲方企业安全工作后，体会到安全领域的种种无奈，希望经过平台的努力让大家看到安全从业者的重要性，以公平中立的角度令我们了解网络安全现状并促使各方面加以改善。他的演讲内容是：

随着互联网的迅猛发展，网络安全问题变的越来越扑朔迷离，它即是老牌互联网企业迅猛发展时必须去考虑的问题，也是新一代互联网生力军提升产品保障与竞争实力的一重要途径。 通过这次的分享，我希望能够从特殊的角度给大家折射出一些比较有趣、又令人深思的数据与信息：

• 互联网安全囧事儿
• 通过分析目前的安全漏洞趋势，找出软肋
• 新兴技术、产品或领域的“空白”安全
• 如何建立企业、研发、安全研究者与用户的安全生态圈
• 乌云做了那些努力与成果

希望这些信息可以让互联网安全“老兵”与“新兵”们，在今后的网络安全工作与生活中得到帮助，在今年的信息安全建设上得到一个飞跃！

携程安全架构高级经理罗启武会为大家分享《大规模日志的实时安全分析》。罗启武主要负责安全架构团队，从事安全评估、应急，安全架构，账户安全，安全系统建设等工作；同时也是【Sebug 漏洞库】的创始人。

携程旅行网经常会遇到一些常见的恶意攻击，如撞号、抓数据、恶意扫描等等，对用户、服务器、带宽等资源都是一种损失。携程在这期间，也是摸着石头过河，有过痛苦也有过喜悦。

如何建立一款基于大规模日志分析的规则引擎（各种识别规则或模型）、实时计算的安全分析产品；从日志中找到一些好玩的东西，并在日志中发现各种惊喜和秘密。分享在这个过程中携程的一些辛酸历程。

安全宝的好小伙，安全宝安全团队主管尹毅在公司主要负责 waf 维护、数据分析、安全服务以及安全团队管理，致力于 WEB 安全研究，喜欢代码审计，喜欢编程。这次他会为大家分享《移动应用安全漏洞自动化挖掘与利用》：

现在已进入移动互联网时代，吃喝玩乐、办公支付等等各种应用都在抢占移动 APP 市场，由于安全无处不在的本质，在多年前就已经有少数人在研究移动 APP 的中木马、钓鱼等等，但很少有人想到移动 APP 安全跟 WEB 安全的关系，目前移动 APP 大多都有跟远程服务器交互，而且基本都是以 WEB API 服务的方式，这使得移动 APP 安全跟 WEB 安全绑的非常紧。但往往很多漏洞都发生在这些 API 接口上，再加上目前这块不是很受关注，导致大多数移动 APP 都没有在这块架设一些 CDN、WAF、IPS 等设备，使得存在漏洞的 API 接口完全裸露在互联网中。本次他将分享：

1. 移动 APP 市场安全现状
2. 安卓 APP 的反编译及漏洞挖掘
3. 利用移动 APP 渗透的各种“猥琐”思路
4. 自动化移动 APP 安全漏洞挖掘的程序实现

业界鼎鼎大名的脚本黑客周景平（黑哥）也是这次安全专题的演讲嘉宾。黑哥是一名有 5 年多的从业经验的外科医生，2012 黑哥加入知道创宇，转行安全。关于这位业内最著名的传奇黑客，请见“道哥的黑板报”对黑哥周景平的专题文章：《中国黑客传说：我是超级黑》。

这次黑哥要分享的话题是《General Mass Threat》：

这个世界存在两种男人一种是“高富帅”，而另外一种就是“屌丝”。他们的生活是截然不同的！就连在网络世界里受到的攻击威胁都是不一样的：APT（Advanced Persistent Threat）主要的攻击目标就是“高富帅”，而广大的“屌丝”是很难享受到这样的高级的待遇，只能被 GMT（General Mass Threat）了…

为了我等“屌丝”那点点无聊的“自尊”，本次我主要是介绍一下“屌丝”网站受到一些攻击方式，希望更多的人在感叹关注“高富帅”的 APT 的同时，稍微关心一下我等“屌丝”的安全。

知道创宇一直都很关注中小企业及草根站长们的网站安全问题，我们推出了免费的网站扫描（安全联盟站长平台），免费的 CDN 云 WAF（百度加速乐）防御，各种应用程序漏洞预警等服务，本次议题我也会和大家介绍并分享一些我自己的安全观及与一些与“黑客”在一线战斗有趣的事情…

上海二三四五互联网研发中心高级开发经理马东京会为互联网时代的 Web 安全指引道路，分享《WEB 类安全实施及部署》的话题，分析目前 WEB 安全的形式，介绍目前国内 WEB 网站安全形式，并对漏洞进行图解，举例介绍漏洞问题，同时总结经常碰到的产生漏洞的原因。最后他还会介绍如何预防 WEB 安全问题，通过指纹平台和代码发布平台保障代码不会被篡改，通过日志分析平台分析目前代码中可能存在的漏洞。

技术训练营信息：

本届大会全新打造的技术训练营（原会前培训）已经上线，在训练营中，我们邀请 QCon 讲师为对某一个领域具体实战技能感兴趣，入门浅的朋友提供集中的培训和指导。

现在 目前已上线的训练营包括《敏捷与模块化－OSGi 理论与实践》、《iOS 入门与进阶》、《JavaEE，企业应用互联网化的架构选择探讨》，和许多不同类别的测试课程，以及一门认证类课程《实践中的看板》。课程详情及报名方式，请查阅技术训练营页面。

更多精彩信息不断更新中，详请跳转至大会官网查阅。如有更多需要咨询，请联系 qcon@cn.infoq.com，或直接致电 010-64738142。报名请点击报名页面。