写点什么

乌云漏洞报告平台探秘、携程大规模日志实时安全分析:QCon 北京 2014 安全专题

  • 2014-04-02
  • 本文字数:2333 字

    阅读完需:约 8 分钟

距第六届 QCon 全球软件开发大会(北京站)2014 开幕仅剩 3 周,大会的日程信息已经相当完整,欢迎在日程页查阅。大会的演讲内容在官网: http://www.qconbeijing.com ,以及 InfoQ 微博、微信公众帐号的最新播报: @InfoQ 、【infoqchina】不断更新。

历届 QCon 大会门票都会提前售罄,如欲报名报请速点击报名页面

几周前震惊业界的携程信用卡信息泄露事件,互联网安全问题再度吸引了大家眼球。携程的漏洞最初由乌云漏洞报告平台报告,这究竟是怎么一回事儿?本届QCon 在安全话题上为您准备了足量内容。

QCon 安全专题请到了乌云漏洞报告平台联合创始人孟卓,为大家分享《乌云的背后是阳光》。孟卓 2003 年开始对网络攻防技术产生浓厚兴趣,2007 年毕业后加入新浪网负责线上产品与企业安全等工作。期间在安全性测试,安全防护方案与项目研发等领域都有所涉及。在经过五年的甲方企业安全工作后,体会到安全领域的种种无奈,希望经过平台的努力让大家看到安全从业者的重要性,以公平中立的角度令我们了解网络安全现状并促使各方面加以改善。他的演讲内容是:

随着互联网的迅猛发展,网络安全问题变的越来越扑朔迷离,它即是老牌互联网企业迅猛发展时必须去考虑的问题,也是新一代互联网生力军提升产品保障与竞争实力的一重要途径。 通过这次的分享,我希望能够从特殊的角度给大家折射出一些比较有趣、又令人深思的数据与信息:

  • 互联网安全囧事儿
  • 通过分析目前的安全漏洞趋势,找出软肋
  • 新兴技术、产品或领域的“空白”安全
  • 如何建立企业、研发、安全研究者与用户的安全生态圈
  • 乌云做了那些努力与成果

希望这些信息可以让互联网安全“老兵”与“新兵”们,在今后的网络安全工作与生活中得到帮助,在今年的信息安全建设上得到一个飞跃!

携程安全架构高级经理罗启武会为大家分享《大规模日志的实时安全分析》。罗启武主要负责安全架构团队,从事安全评估、应急,安全架构,账户安全,安全系统建设等工作;同时也是【Sebug 漏洞库】的创始人。

携程旅行网经常会遇到一些常见的恶意攻击,如撞号、抓数据、恶意扫描等等,对用户、服务器、带宽等资源都是一种损失。携程在这期间,也是摸着石头过河,有过痛苦也有过喜悦。

如何建立一款基于大规模日志分析的规则引擎(各种识别规则或模型)、实时计算的安全分析产品;从日志中找到一些好玩的东西,并在日志中发现各种惊喜和秘密。分享在这个过程中携程的一些辛酸历程。

安全宝的好小伙,安全宝安全团队主管尹毅在公司主要负责 waf 维护、数据分析、安全服务以及安全团队管理,致力于 WEB 安全研究,喜欢代码审计,喜欢编程。这次他会为大家分享《移动应用安全漏洞自动化挖掘与利用》:

现在已进入移动互联网时代,吃喝玩乐、办公支付等等各种应用都在抢占移动 APP 市场,由于安全无处不在的本质,在多年前就已经有少数人在研究移动 APP 的中木马、钓鱼等等,但很少有人想到移动 APP 安全跟 WEB 安全的关系,目前移动 APP 大多都有跟远程服务器交互,而且基本都是以 WEB API 服务的方式,这使得移动 APP 安全跟 WEB 安全绑的非常紧。但往往很多漏洞都发生在这些 API 接口上,再加上目前这块不是很受关注,导致大多数移动 APP 都没有在这块架设一些 CDN、WAF、IPS 等设备,使得存在漏洞的 API 接口完全裸露在互联网中。本次他将分享:

  1. 移动 APP 市场安全现状
  2. 安卓 APP 的反编译及漏洞挖掘
  3. 利用移动 APP 渗透的各种“猥琐”思路
  4. 自动化移动 APP 安全漏洞挖掘的程序实现

业界鼎鼎大名的脚本黑客周景平(黑哥)也是这次安全专题的演讲嘉宾。黑哥是一名有 5 年多的从业经验的外科医生,2012 黑哥加入知道创宇,转行安全。关于这位业内最著名的传奇黑客,请见“道哥的黑板报”对黑哥周景平的专题文章:《中国黑客传说:我是超级黑》

这次黑哥要分享的话题是《General Mass Threat》:

这个世界存在两种男人一种是“高富帅”,而另外一种就是“屌丝”。他们的生活是截然不同的!就连在网络世界里受到的攻击威胁都是不一样的:APT(Advanced Persistent Threat)主要的攻击目标就是“高富帅”,而广大的“屌丝”是很难享受到这样的高级的待遇,只能被 GMT(General Mass Threat)了…

为了我等“屌丝”那点点无聊的“自尊”,本次我主要是介绍一下“屌丝”网站受到一些攻击方式,希望更多的人在感叹关注“高富帅”的 APT 的同时,稍微关心一下我等“屌丝”的安全。

知道创宇一直都很关注中小企业及草根站长们的网站安全问题,我们推出了免费的网站扫描(安全联盟站长平台),免费的 CDN 云 WAF(百度加速乐)防御,各种应用程序漏洞预警等服务,本次议题我也会和大家介绍并分享一些我自己的安全观及与一些与“黑客”在一线战斗有趣的事情…

上海二三四五互联网研发中心高级开发经理马东京会为互联网时代的 Web 安全指引道路,分享《WEB 类安全实施及部署》的话题,分析目前 WEB 安全的形式,介绍目前国内 WEB 网站安全形式,并对漏洞进行图解,举例介绍漏洞问题,同时总结经常碰到的产生漏洞的原因。最后他还会介绍如何预防 WEB 安全问题,通过指纹平台和代码发布平台保障代码不会被篡改,通过日志分析平台分析目前代码中可能存在的漏洞。

技术训练营信息:

本届大会全新打造的技术训练营(原会前培训)已经上线,在训练营中,我们邀请 QCon 讲师为对某一个领域具体实战技能感兴趣,入门浅的朋友提供集中的培训和指导。

现在 目前已上线的训练营包括《敏捷与模块化-OSGi 理论与实践》、《iOS 入门与进阶》、《JavaEE,企业应用互联网化的架构选择探讨》,和许多不同类别的测试课程,以及一门认证类课程《实践中的看板》。课程详情及报名方式,请查阅技术训练营页面

更多精彩信息不断更新中,详请跳转至大会官网查阅。如有更多需要咨询,请联系 qcon@cn.infoq.com,或直接致电 010-64738142。报名请点击报名页面

2014-04-02 22:122479
用户头像

发布了 91 篇内容, 共 36.6 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

2种图像增强方法:图像点运算和图像灰度化处理

华为云开发者联盟

图像处理 图像 图像增强 图像点运算 灰度化处理

F6 汽车科技基于 Apache ShardingSphere 的核心业务分库分表实践

SphereEx

Apache 数据库 开源 ShardingSphere SphereEx

GPUSHARE-会员重磅上线啦~

恒源云

gpu 学生党

Apache ShardingSphere 企业行|走进搜狐

SphereEx

数据库 开源 ShardingSphere SphereEx 搜狐

混合多云环境下的云成本管理与优化

鲸品堂

成本优化 实践案例 云资源

前端SSR的落地实践

百度Geek说

百度 前端 SSR

TinTin Meeting#3回放|NNS里面的Registry Canister

TinTinLand

区块链 Dfinity TinTin Meeting

【元宵节快乐】Apache ShardingSphere 企业行|走进陌陌

SphereEx

数据库 开源 企业 ShardingSphere SphereEx

海关监管区域之港口作业

Geek_XOXO

国际贸易 海关监管 港口作业

人才短缺、成本高昂,制造企业智能化转型路径如何破局?

百度开发者中心

如何通过 Jira Service Management 打造员工自助服务工具实现高效分布式工作

Atlassian

敏捷 Jira 远程协作 ITSM 开发管理

美容机构预约小程序设计方案

CC同学

Clusterpedia 加持 kubectl,检索多集群资源

Daocloud 道客

云原生 开源项目 K8s 多集群管理

Linux之lsof命令

入门小站

这把“锁”不简单,让你畅游数字世界

华为云开发者联盟

SSL证书 ssl HTTP协议 HTTPS协议加密

超27亿人参与!“云上冬奥”背后的技术革新

阿里云弹性计算

阿里云 冬奥会

在线键盘按键检测工具

入门小站

工具

三维仿真智慧服务器 —— 信息安全监控平台

一只数据鲸鱼

信息安全 数据中心 数据可视化 智慧城市

创新推出 | Serverless 调试大杀器:端云联调

Serverless Devs

无需编程,基于PostgreSQL零代码生成CRUD增删改查RESTful API接口

crudapi

postgresql API crud crudapi 抽象工厂设计模式

ZEGO音视频服务的高可用架构设计与运营

ZEGO即构

架构 后台 高可用架构 音视频开发

从 generator 的角度看 Rust 异步代码

SOFAStack

rust Generator

如何用AI技术增强企业认知智能?超详细架构解读

博文视点Broadview

k8s 源码Client-go中Reflector解析

华为云开发者联盟

Kubernetes Informer 事件 Client-go Reflector

直播预告 | PolarDB-X 动手实践系列——如何在 PolarDB-X 中进行 Online DDL

阿里云数据库开源

数据库 阿里云 开源 polarDB

海关监管区域之陆路口岸作业

Geek_XOXO

国际贸易 海关监管 口岸

一周信创舆情观察(2.14~2.20)

统小信uos

百度可观测系列 | 采集亿级别指标,Prometheus 集群方案这样设计

百度开发者中心

FinClip邀你来出战|Hackthon Coding Party 一触即发

FinClip

使用CSS绘制一支口红

战场小包

CSS 口红 2月月更

【WEB安全】轻松检测钓鱼网站的技巧#建议收藏#

H

网络安全 WEB安全 钓鱼网站

乌云漏洞报告平台探秘、携程大规模日志实时安全分析:QCon北京2014安全专题_QCon_彭超_InfoQ精选文章