AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

乌云漏洞报告平台探秘、携程大规模日志实时安全分析:QCon 北京 2014 安全专题

  • 2014-04-02
  • 本文字数:2333 字

    阅读完需:约 8 分钟

距第六届 QCon 全球软件开发大会(北京站)2014 开幕仅剩 3 周,大会的日程信息已经相当完整,欢迎在日程页查阅。大会的演讲内容在官网: http://www.qconbeijing.com ,以及 InfoQ 微博、微信公众帐号的最新播报: @InfoQ 、【infoqchina】不断更新。

历届 QCon 大会门票都会提前售罄,如欲报名报请速点击报名页面

几周前震惊业界的携程信用卡信息泄露事件,互联网安全问题再度吸引了大家眼球。携程的漏洞最初由乌云漏洞报告平台报告,这究竟是怎么一回事儿?本届QCon 在安全话题上为您准备了足量内容。

QCon 安全专题请到了乌云漏洞报告平台联合创始人孟卓,为大家分享《乌云的背后是阳光》。孟卓 2003 年开始对网络攻防技术产生浓厚兴趣,2007 年毕业后加入新浪网负责线上产品与企业安全等工作。期间在安全性测试,安全防护方案与项目研发等领域都有所涉及。在经过五年的甲方企业安全工作后,体会到安全领域的种种无奈,希望经过平台的努力让大家看到安全从业者的重要性,以公平中立的角度令我们了解网络安全现状并促使各方面加以改善。他的演讲内容是:

随着互联网的迅猛发展,网络安全问题变的越来越扑朔迷离,它即是老牌互联网企业迅猛发展时必须去考虑的问题,也是新一代互联网生力军提升产品保障与竞争实力的一重要途径。 通过这次的分享,我希望能够从特殊的角度给大家折射出一些比较有趣、又令人深思的数据与信息:

  • 互联网安全囧事儿
  • 通过分析目前的安全漏洞趋势,找出软肋
  • 新兴技术、产品或领域的“空白”安全
  • 如何建立企业、研发、安全研究者与用户的安全生态圈
  • 乌云做了那些努力与成果

希望这些信息可以让互联网安全“老兵”与“新兵”们,在今后的网络安全工作与生活中得到帮助,在今年的信息安全建设上得到一个飞跃!

携程安全架构高级经理罗启武会为大家分享《大规模日志的实时安全分析》。罗启武主要负责安全架构团队,从事安全评估、应急,安全架构,账户安全,安全系统建设等工作;同时也是【Sebug 漏洞库】的创始人。

携程旅行网经常会遇到一些常见的恶意攻击,如撞号、抓数据、恶意扫描等等,对用户、服务器、带宽等资源都是一种损失。携程在这期间,也是摸着石头过河,有过痛苦也有过喜悦。

如何建立一款基于大规模日志分析的规则引擎(各种识别规则或模型)、实时计算的安全分析产品;从日志中找到一些好玩的东西,并在日志中发现各种惊喜和秘密。分享在这个过程中携程的一些辛酸历程。

安全宝的好小伙,安全宝安全团队主管尹毅在公司主要负责 waf 维护、数据分析、安全服务以及安全团队管理,致力于 WEB 安全研究,喜欢代码审计,喜欢编程。这次他会为大家分享《移动应用安全漏洞自动化挖掘与利用》:

现在已进入移动互联网时代,吃喝玩乐、办公支付等等各种应用都在抢占移动 APP 市场,由于安全无处不在的本质,在多年前就已经有少数人在研究移动 APP 的中木马、钓鱼等等,但很少有人想到移动 APP 安全跟 WEB 安全的关系,目前移动 APP 大多都有跟远程服务器交互,而且基本都是以 WEB API 服务的方式,这使得移动 APP 安全跟 WEB 安全绑的非常紧。但往往很多漏洞都发生在这些 API 接口上,再加上目前这块不是很受关注,导致大多数移动 APP 都没有在这块架设一些 CDN、WAF、IPS 等设备,使得存在漏洞的 API 接口完全裸露在互联网中。本次他将分享:

  1. 移动 APP 市场安全现状
  2. 安卓 APP 的反编译及漏洞挖掘
  3. 利用移动 APP 渗透的各种“猥琐”思路
  4. 自动化移动 APP 安全漏洞挖掘的程序实现

业界鼎鼎大名的脚本黑客周景平(黑哥)也是这次安全专题的演讲嘉宾。黑哥是一名有 5 年多的从业经验的外科医生,2012 黑哥加入知道创宇,转行安全。关于这位业内最著名的传奇黑客,请见“道哥的黑板报”对黑哥周景平的专题文章:《中国黑客传说:我是超级黑》

这次黑哥要分享的话题是《General Mass Threat》:

这个世界存在两种男人一种是“高富帅”,而另外一种就是“屌丝”。他们的生活是截然不同的!就连在网络世界里受到的攻击威胁都是不一样的:APT(Advanced Persistent Threat)主要的攻击目标就是“高富帅”,而广大的“屌丝”是很难享受到这样的高级的待遇,只能被 GMT(General Mass Threat)了…

为了我等“屌丝”那点点无聊的“自尊”,本次我主要是介绍一下“屌丝”网站受到一些攻击方式,希望更多的人在感叹关注“高富帅”的 APT 的同时,稍微关心一下我等“屌丝”的安全。

知道创宇一直都很关注中小企业及草根站长们的网站安全问题,我们推出了免费的网站扫描(安全联盟站长平台),免费的 CDN 云 WAF(百度加速乐)防御,各种应用程序漏洞预警等服务,本次议题我也会和大家介绍并分享一些我自己的安全观及与一些与“黑客”在一线战斗有趣的事情…

上海二三四五互联网研发中心高级开发经理马东京会为互联网时代的 Web 安全指引道路,分享《WEB 类安全实施及部署》的话题,分析目前 WEB 安全的形式,介绍目前国内 WEB 网站安全形式,并对漏洞进行图解,举例介绍漏洞问题,同时总结经常碰到的产生漏洞的原因。最后他还会介绍如何预防 WEB 安全问题,通过指纹平台和代码发布平台保障代码不会被篡改,通过日志分析平台分析目前代码中可能存在的漏洞。

技术训练营信息:

本届大会全新打造的技术训练营(原会前培训)已经上线,在训练营中,我们邀请 QCon 讲师为对某一个领域具体实战技能感兴趣,入门浅的朋友提供集中的培训和指导。

现在 目前已上线的训练营包括《敏捷与模块化-OSGi 理论与实践》、《iOS 入门与进阶》、《JavaEE,企业应用互联网化的架构选择探讨》,和许多不同类别的测试课程,以及一门认证类课程《实践中的看板》。课程详情及报名方式,请查阅技术训练营页面

更多精彩信息不断更新中,详请跳转至大会官网查阅。如有更多需要咨询,请联系 qcon@cn.infoq.com,或直接致电 010-64738142。报名请点击报名页面

2014-04-02 22:122672
用户头像

发布了 91 篇内容, 共 38.5 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

时序数据库在水电站领域的应用

CnosDB

IoT 时序数据库 开源社区 CnosDB infra

CleanMyMac2022免费版Mac电脑清理软件功能

茶色酒

CleanMyMac2022 CleanMyMac

MongoDB 入门教程系列之二:使用 Spring Boot 操作 MongoDB

汪子熙

node.js 数据库 mongodb 分布式数据库 5月月更

MongoDB 入门教程系列之三:使用 Restful API 操作 MongoDB

汪子熙

数据库 mongodb 分布式数据库 分布式数据库mongodb 5月月更

python进阶-迭代器和生成器

AIWeker

Python 人工智能 5月月更

【Go实现】实践GoF的23种设计模式:建造者模式

元闰子

Go 设计模式 建造者模式

喜报!阿里云首个通过应用多活“先进级”能力评估

阿里巴巴云原生

阿里云 云原生 应用多活

无需修改代码,用 fcapp.run 运行你的 REST 应用

阿里巴巴云原生

阿里云 Serverless 云原生 函数计算

虎符交易所上线量化网格交易 同步开启活动三重奏

区块链前沿News

活动 虎符交易所

Flutter/Dart:生成最小值和最大值之间的随机数

坚果

5月月更

Nginx 如何将所有 HTTP 的流量转移到 HTTPS

HoneyMoose

网站开发进阶(二十六)JavaScript 实现页面刷新方法汇总

No Silver Bullet

JavaScript 页面刷新 5月月更

聊聊 C 语言和 ABAP 这两门编程语言的关系

汪子熙

编程语言 C语言 SAP abap 5月月更

Django Model 如何返回空的 QuerySet

AlwaysBeta

django

聊聊 Kafka:Kafka 消息丢失的场景以及最佳实践

老周聊架构

kafka 4月月更 5月月更

SpringSecurity认证流程分析

急需上岸的小谢

5月月更

用户行为分析模型实践(二)—— 漏斗分析模型

vivo互联网技术

大数据 数据分析 Clickhouse

2个不同的对象集合如何取交集和差集

爱好编程进阶

Java 程序员 后端开发

闲置计费 | Serverless 冷启动与成本间的最优解

阿里巴巴云原生

阿里云 Serverless 云原生 函数计算

C语言_Linux基本命令与C语言基础

DS小龙哥

5月月更

10-2 5-2 查询至少生产两种不同的计算机(PC或便携式电脑)且机器速度至少为133的厂商 (20 分)(思路加详解+测试用例

爱好编程进阶

程序员 后端开发

2021 年最新版 68道Redis面试题,20000字,赶紧收藏起来备用

爱好编程进阶

Java 程序员 后端开发

320000字2021春招高频面试真题汇总

爱好编程进阶

Java 程序员 后端开发

MySQL存储过程批量生成假用户电话号码

芝士味的椒盐

MySQL MySQL 数据库 5月月更

IntelliJ IDEA 如何增加运行时候的内存

HoneyMoose

Docker下的Spring Cloud三部曲之一:极速体验

程序员欣宸

Java Spring Cloud 5月月更

从零构建物联网平台-给个理由先

老任物联网杂谈

物联网平台

《对线面试官》Java注解

Java3y

Java 程序员 面试 编程语言 5月月更

15-拦截器

爱好编程进阶

Java 程序员 后端开发

Nacos源码系列—关于服务注册的那些事

牧小农

源码 nacos

2021-6-1【利用指针方法求数组的最大值和最小值】

爱好编程进阶

Java 程序员 后端开发

乌云漏洞报告平台探秘、携程大规模日志实时安全分析:QCon北京2014安全专题_QCon_彭超_InfoQ精选文章