段钢 看雪学院创始人 09:15-09:45
Flash 之殇 - 漏洞之王 Flash Player 的末路
Flash Player 作为最受欢迎的多媒体软件,一直以来都受到大众的软件,遥想当年的闪客精灵时代,何其风光。自从Flash Player 荣登"漏洞之王"的宝座之后,Flash 就成了"千夫所指"的对象,本议题就以Flash player为题,为大家带来Flash Player漏洞利用史,展现Flash 漏洞利用技术和攻防对抗技巧。 仙果 看雪论坛【二进制漏洞】版主 09:45-10:15浅析WEB安全编程
开发中容易忽略又比较常见的安全问题做一些介绍,并指导在开发中如何避免安全问题的产生。
汤青松 中国婚博会PHP高级工程师 10:15-10:45业务安全发展趋势及对安全研发的挑战
业务安全在2012年之前还只是以阿里、腾讯及携程等为主的局部战场,近些年随着垂直电商、社交、移动游戏和O2O等领域的快速发展,业务安全及反欺诈被更多的视线关注,但多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长,面对黑产的攻击会一时无措。作为防守方,除了对抗技术外,也要增强对黑产的认知,了解当前在一些业务核心问题上的对抗阶段和思路。听众价值:从我们接触的多个案例表明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知,这个议题会从国内业务安全发展过程来帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。 毕裕 威胁猎人创始人兼CEO 10:45-11:15
Windows 10新子系统*新挑战
本演讲课题讲述Windows10系统因对Linux系统的支持所带来改变以及伴随而来的安全挑战。 陆麟 lu0,早期十大黑客之一,Windows 内核专家,驱动专家。 11:15-11:45智能化的安全: 设备&应用&ICS
议题简介:物联网热潮和泛在信息化推动了智能设备和智能应用的迅猛发展,同时野蛮式生长也带来了大量的安全漏洞,一旦被利用就会爆发出远超传统信息化逻辑边界的物理性伤害。本议题首先用智能门锁为对WIFI和BLE两种组网类型的智能设备进行安全漏洞分析,然后分析日常生活中智能应用的典型安全漏洞,最后分享我们在工业控制系统方面的安全研究经验。
听众收益:让更多的开发者了解典型的安全漏洞,更好的提升产品的安全性;让更多的使用者了解身边的安全威胁,更好的保护自己的隐私和安全。
王东 启明星辰ADLab西南团队负责人 11:45-12:15
看雪版主及老会员座谈
看雪学院创始人kanxue,TR/TRW2000作者刘涛涛,中国个人站长第一人高春辉,CCG破解组织老大SunBird,看雪老坛主CCdebuger,『外文翻译』版主zmworm,『智能设备』gjden 嘉宾座谈 与大牛面对面 12:15-12:20抽奖
抽奖 精美大奖等你来拿! 12:20-13:30午餐
午餐 五星级酒店自助午餐 13:30-13:35抽奖
抽奖 精美大奖等你来拿! 13:35-14:00移动APP灰色产业案例分析与防范
移动互联网时代,互联网业务飞速发展,在这样的大背景下滋润了一条以刷单、倒卖、刷榜、引流、推广为主的灰色产业链。他们以低成本换取了高额的利润,给互联网企业以及用户都带来了巨大的损失。加固技术、风险控制、设备指纹、验证码等技术也都在飞速发展,但实际效果并不能让人满意。
本议题将揭露多个真实案例的技术细节,开发流程,运营流程,并提出一些防护建议,协议安全需要从体系上进行加强。
无名侠 陈愉鑫 移动安全爱好者 14:00-14:30
从漏洞中来,到漏洞中去-IoT僵尸网络问题及解决思路
王启泽 启明星辰&看雪智能硬件小组 14:30-15:00 那些年,你怎么写总会出现的漏洞针对开发者在编码时产生的意料之外的漏洞愿意以及漏洞分析
邓永凯 绿盟科技应急响应中心Web研究员 15:00-15:15茶歇
15:15-15:20抽奖
抽奖 精美大奖等你来拿! 15:20-15:50游戏外挂对抗的安全实践
本议题,将会以FPS类型游戏的自瞄外挂功能的对抗为例,通过对自瞄外挂实现原理的解析,阐述如何使用定制化的技术思想,达到对外挂作弊功能的持续压制。另外议题中也会涉及游戏漏洞挖掘的核心思路和方法技巧,游戏开发者自身提升游戏安全性的技术手段,安全防守方定制化方案分析、开发、实现的方法和技巧等内容。
听众收益:了解定制化的方案如何解决游戏外挂作弊的问题,能够收获游戏外挂对抗方案定制化建设的方法及技巧。
胡和君 腾讯游戏安全高级工程师 15:50-16:20java json 反序列化之殇
随着REST API的流行,JSON的使用也越来越多,但是其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。在这次演讲中,主要阐述java json库的反序列化特性导致的RCE。首先会介绍Gson,Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作,接着分析其安全机制,从其安全机制上发现哪些潜在的安全漏洞。然后会公布一些未公开的反序列化的的payload(以Fastjson举例说明),当然也可能包括0day,并且会对这些payload分类解读,从field类型,property类型的触发机制加以概括归纳。最后会从开发,运维的角度来防御这类安全问题。听众收益:让更多的开发者理解Java反序列化漏洞,做好安全编码,做好安全防护,减少被黑客骚扰的机会。
廖新喜 绿盟科技网络安全攻防实验室安全研究员 16:20-16:50
开启IoT设备的上帝模式
当今 IoT 设备大量涌入智能家居领域,IoT 安全和大众的生活就息息相关了。演讲计划关注 IoT 设备开启上帝模式, 即 root 模式的相关安全问题, 包括 root 设备的技术手段, 获得 root权限后引发的潜在安全威胁,和缓解安全威胁的一些方法。为了提升效果,会首次公开两个已提交 CNNVD 的 IoT 设备 root 漏洞。
杨经宇 高级工程师 16:50-17:20一石多鸟——击溃全线移动平台浏览器
“越狱!”——苹果用户的超级热点、终极话题王,软件安全“皇冠上的明珠”,也是软件安全世界价值观和方法论的总和;越狱所使用到的技术之深、范围之广,堪称二进制漏洞利用领域之桂冠!利用Webkit漏洞进行远程越狱就是其中一例!让我们来通过具体的木马案例分析,来打开这扇通往技术盛宴的大门,大肆饕餮漏洞利用领域的无尽迤逦与风光。 roysue 看雪iOS小组组长 roysue 17:20-17:50如何黑掉无人机
本议题是基于某品牌无人机的某些机型上进行的研究,系统的介绍某品牌无人机的架构体系、功能模块、传感器等,包括各个组件的攻击面、安全防护体系、软硬件反调技术及其绕过方法,并深度解读无线宽带通信等。现场会介绍一个不需要通过软件漏洞就能Root某品牌无人机的方法,以及如何远程劫持一台无人机。
嘉宾座谈
腾讯玄武实验TK主持,众人科技创始人谈剑峰,梆梆安全CTO陈彪,百度安全事业部总经理马杰,360公司 首席安全官 谭晓生,知道创宇CTO、COO杨冀龙,KEEN和GeekPwn创办人王琦,犇众信息(盘古团队) 创始人&CEO韩争光
嘉宾座谈 与大牛面对面 18:20-18:25看雪CTF2017颁奖典礼
18:25-18:30抽大奖
18:30-18:30会议结束
会议落幕
会议结束 会议落幕
