看雪2018安全開發者峰會 簡介

2018年7月21日，擁有18年悠久歷史的老牌安全技術社群——看雪學院聯手國內最大開發者社群CSDN，傾力打造一場技術乾貨的饕餮盛宴——2018 安全開發者峰會，將在國家會議中心隆重舉行。會議面向開發者、安全人員及高階技術從業人員，是國內開發者與安全人才的年度盛事。

峰會將聚焦開發與安全，“萬物互聯，安全開發”，旨在以“防”為基準，安全開發為主旨，引導廣大企業和開發者關注移動、智慧裝置、物聯網等領域的安全，提高開發和安全技巧，創造出更安全的產品。

此外峰會將展現當前最新、最前沿技術成果，匯聚年度最強實踐案例，為中國軟體開發者們呈獻了一份年度技術實戰解析全景圖。

秉承著技術與乾貨的原則，看雪學院精心篩選的議題涵蓋了安全程式設計、軟體安全測試、智慧裝置安全、物聯網安全、漏洞挖掘、移動安全、WEB安全、密碼學、逆向技術、加密與解密等，吸引了業內頂尖的開發者和技術專家，旨在推動軟體開發安全的深入交流與分享，為安全人員、軟體開發者、廣大網際網路人士及行業相關人士提供最具價值的交流平臺。

本次峰會受到了梆梆安全、娜迦、阿里安全、騰訊安全、百度安全、Wifi萬能鑰匙、京東安全、360公司、幾維安全、愛加密、金山毒霸（獵豹旗下品牌）、騰訊TSRC、科銳培訓、同盾科技、15派培訓等等數十家公司的大力支援和贊助。

重磅議題，驚喜一“夏”

1、《端到端通訊中危險的中間盒子：祝福還是詛咒？》

議題簡介：

將結合團隊近年的研究成果，介紹Web通訊中的各種中間盒子存在的安全問題，包括注入廣告或惡意內容、洩露使用者隱私、快取汙染、大規模拒絕服務攻擊等。

演講嘉賓： 段海新

嘉賓簡介：

畢業於清華大學計算機系，工學博士、教授、博士生導師，國際資訊系統安全認證專家（ CISSP ），目前就職於清華大學資訊網路工程研究中心，任清華大學網路與資訊保安實驗室主任，中國教育和科研計算機網緊急相應組（ CCERT ）負責人。承擔國家 973 、 863 、自然科學基金等多項國家級科研專案，獲部級科技進步獎一次。在國內外學術刊物或國際會議上發表學術論文 20 多篇，其中 EI/SCI 收錄10 多篇，專著或譯著 7 部。

2、《智慧裝置漏洞挖掘中幾個突破點》

議題簡介：

本議題主要針對智慧裝置韌體提取的攻防手段進行了整理和總結。

先對嵌入式系統的軟硬體的基礎架構做了介紹，然後會詳細講智慧裝置提取韌體的十大方法，涉及到的軟體和硬體工具，工具的作用和用法。本議題對智慧裝置安全研究人員提取韌體的常用方法進行梳理, 也對開發者提出了一些安全方面的建議, 避免廠家辛苦開發出的產品、想要保護的韌體沒有保護好，被輕易提取出韌體分析。無論是開發者還是安全愛好者都值得一看。

演講嘉賓： 馬良

嘉賓簡介：

目前就職於綠盟科技，研究領域為物聯網和工控安全，擅長領域：嵌入式系統。

在進入安全行業前，曾有十年豐富的嵌入式軟體開發經歷。如4年物聯網產品開發經驗；3年LTE開發經驗；3年在工控系統開發經驗。

3、《NLP機器學習模型安全性及實踐》

議題簡介：

現在AI在各行各業的應用越來越多，但是對於AI模型的安全性研究相對落後。雖然國內外一些安全專家已經有了部分的研究成果，但是現階段，從業務安全的角度，還沒有很多的研究資料。本演講從AI在自然語言處理領域NLP的實際應用出發，通過例項（國內知名NLP機器人產品），介紹AI問答機器人產品的業務安全問題，試圖打破AI和業務安全之間的壁壘，推進AI在行業中的落地應用。

演講嘉賓：吳鶴意

嘉賓簡介：

吳鶴意，網路安全愛好者，擁有大型政企單位安全應急與運維經驗，多次參與中央部委安全事件解析工作，研究領域現集中於AI+SDN。

4、《iOS App 安全審計與案例分享》

議題介紹：

本議題將會分享盤古實驗室在針對iOS平臺的App審計的工作過程中應用的技術手法和發現的常見問題。同時結合真實案例詳細介紹在App審計過程中發現並利用ZipperDown的技術細節，包括ZipperDown對微博、qq音樂、陌陌等使用者數量達到千萬級別的APP的影響以及我們在構建ZipperDown完整攻擊鏈的過程中遇到的問題和解決思路。

演講嘉賓：黃濤

嘉賓簡介：

3年軟體開發經驗，4年資訊保安從業經驗，擁有豐富的開發經驗外，擅長MacOS/iOS漏洞挖掘、分析，逆向工程，iOS App安全審計。曾在看雪論壇及個人站點發表大量技術文章。在macOS/iOS的漏洞研究積累了大量的經驗，目前在盤古實驗室從事macOS、iOS漏洞挖掘、分析與iOS App應用審計工作。

5、《硬體錢包安全分析》

議題介紹：

隨著區塊鏈技術的興起，國內國外出現很多硬體錢包廠家，由於大多廠家對安全理解不到位，出現很多設計架構的一些問題，我們做了相關安全研究。

國內很多比特幣硬體錢包是基於手機平臺開發（mtk）由於該平臺usb介面存在漏洞。 利用該漏洞我們可以對韌體修改  ，對手機錢包app修改， 從而開啟wifi藍芽介面。進而完全控制錢包的私鑰。 同時也會涉及國外其他硬體錢包設計缺陷。 最後通過一些演示證明此類錢包的不安全性和脆弱性。

演講嘉賓：胡銘德

 嘉賓簡介：

北京知道創宇先進技術部總監

工業控制系統資訊保安國家安全技術國家工程實驗室分部主任

2016 xpwn sony 膝上型電腦後門口令破解 演講者

從事資訊保安20餘年， 硬體愛好者，程式設計愛好者。

6、《Vuln or Flag in PHP Manual》 

議題簡介：

本議題將介紹php中正常的非危險函式在某些場景下也一樣存在安全風險，因為很多開發者認為官方手冊的說明和方法應該是最標準的，沒有任何問題的，所以就直接拿過來使用。

然而，如果沒有認真仔細閱讀及測試PHP manual中的使用方法，這些潛在安全風險就會被黑客惡意利用導致安全漏洞，而且這些潛在威脅就存在php官方的php manual當中只是需要你去發現它們，這些看似正常但是存在潛在威脅的函式方法經常會出現在程式碼審計、CTF挑戰、漏洞利用Bypass當中。

演講嘉賓：鄧永凱  

嘉賓簡介：

鄧永凱(ID：xfkxfk)，綠盟科技工業物聯網安全研究員，從事安全產品開發、安全漏洞研究、安全應急響應等工作7年。

知名安全電子期刊《安全參考》、《書安》創始人兼負責人，逢魔安全實驗室創始人。

曾在SSC安全大會，看雪安全峰會發表安全開發相關議題演講。

擅長程式碼審結，漏洞挖掘，安全開發等，在國內多個漏洞提交平臺及SRC為網際網路廠商、通用應用程式廠商、IoT及安防裝置廠商提交大量漏洞並獲官方致謝。

7、《被“幽靈”所困擾的瀏覽器》

議題簡介：

"Spectre" 是一個嚴重的CPU漏洞影響了大部分的主流架構。攻擊者可以通過快取來利用這個漏洞，可以洩漏使用者級程式中的敏感資料。大部分公開的攻擊，都是本地攻擊。如果可以通過瀏覽器進行漏洞利用，則對使用者的大規模攻擊將成為可能。並且因為瀏覽器使用者量的龐大，如果攻擊者成功這將是災難性的。

在這個演講中，我們將分享如何在瀏覽器中利用"Spectre"漏洞。我們將介紹如何通過Javascript觸發"Spectre"漏洞並且生成可以穩定重新整理快取的彙編指令。由於側通道漏洞的性質，我們做了大量的工作來提高漏洞觸發的穩定性。我們基於在瀏覽器中穩定的利用程式，及時的釋出了線上檢查工具，幫助了成千上萬的使用者測試他們的裝置是否可能被攻擊。根據使用者反饋，幾乎所有的裝置都可能成為受害者，包括Surface Pro、iPhone X、Pixel 2等等。

儘管 "Spectre" 漏洞影響了大量的使用者，但它能否在實際的攻擊中產生危害呢？我們會展示在瀏覽器中，通過 "Spectre" 漏洞可能造成的實際危害，並討論相關的緩解措施。

演講嘉賓：宋凱

嘉賓簡介：

Kai Song (@exp-sky) 是騰訊安全玄武實驗室的高階安全研究員。對於軟體漏洞挖掘與利用有著豐富的研究經驗，主要關注瀏覽器及作業系統相關的安全研究。在Fuzzing與其它漏洞挖掘技術上也有著豐富的經驗。曾代表騰訊安全玄武實驗室贏得 Pwn2Own 2017 Edge 瀏覽器專案。曾連續三年入選微軟 MSRC 全球 Top 100 貢獻者榜單，最高排名第12位。贏得2016年微軟 Mitigation Bypass Bounty 專案。分別贏得2015年和2016年 Edge Bounty 專案。曾在AsiaSecWest、HITCON、中國網際網路安全大會、XKungFoo等安全會議發表演講。

更多精彩議題正在快馬加鞭的趕來......

兩大安全訓練營，充電不停

看雪誠邀業內大牛，為大家帶來三大安全培訓。

WEB安全程式設計訓練營

硬體安全訓練營——《智慧攝像頭漏洞挖掘實戰培訓》

硬體安全訓練營

課程題目：

《智慧攝像頭漏洞挖掘實戰培訓》

課程簡介： 

隨著物聯網的發展，安防裝置的使用也越來越多，特別是攝像頭的使用非常廣泛，隨之而來的攝像頭的安全問題也日益凸顯，且安全現狀不容樂觀。

在追求急速發展的同時，質量和安全問題卻沒有得到很好的保證，很多攝像頭都存在各種各樣的安全問題。

本課程主要從硬體方面的韌體提取，韌體解包，二進位制逆向，系統後門，系統漏洞挖掘，常規web漏洞挖掘，web原始碼審計、web後門，雲安全等方面對物聯網攝像頭（測試8款流行裝置）中存在的安全問題進行全方位的分析進行詳細介紹。

在方法經驗的講解同時，實際動手進行攝像頭的拆解，韌體提取分析，漏洞挖掘，真正的從理論到實踐。 

培訓時間

2018年7月20日 9:00~18:00

注意：

1、本課程需由學員自帶膝上型電腦；

2、主辦方將為學員提供免費午餐一份；

3、課程所需硬體裝置由主辦方提供。

課程目錄： 

1、智慧裝置韌體獲取方法和實戰

2、韌體解包常用方法和技巧

3、韌體逆向分析常用工具和方法簡介

4、智慧裝置硬體中的漏洞挖掘方法

5、攝像頭識別方法和技巧

6、敏感資訊收集

7、系統漏洞挖掘

8、協議相關漏洞挖掘

9、Web漏洞挖掘

10、雲端業務漏洞挖掘

11、其他經驗及技巧 

基礎知識準備： 

需要對計算機基礎知識及網路基礎知識有一定的瞭解，最好熟悉web和系統常規漏洞原理，最主要的是對物聯網安全及漏洞挖掘感興趣。

WEB安全程式設計訓練營

課程簡介

13種漏洞主題參照OWASP top10，以及各大漏洞提交平臺及SRC最常出現的漏洞進行歸納總結。

每個主題按照漏洞原理、漏洞程式碼分析、測試方法及工具、漏洞防範措施、如何開發出安全的程式碼，五大詳細內容分類來進行深入講解。

整個課程包含了大量的實際專案案例，通過案例闡述在實際專案中的應用，讓開發人員深入理解和學習每種漏洞的原理、測試、預防措施，開發出安全的程式，在開發階段就杜絕產品的漏洞問題。

培訓時間

2018年7月20日 9:00~18:00

注意：

1、本課程需由學員自帶膝上型電腦；

2、主辦方將為學員提供免費午餐一份。

課程目錄

1、SQL隱碼攻擊漏洞

2、命令執行

3、程式碼注入

4、檔案上傳漏洞

5、檔案包含

6、跨站指令碼攻擊（XSS）

7、跨站請求偽造（CSRF）

8、暴力破解

9、敏感資訊洩漏

10、驗證碼繞過

11、越權

12、支付漏洞

13、密碼找回

講師簡介

湯青松 《PHP WEB安全開發實戰》作者

2017 Devlink PHP開發者大會 安全話題演講嘉賓

2017看雪安全開發者峰會 演講嘉賓

中科院計算所培訓中心 “WEB安全開發”課講師

頒獎盛典，精英齊聚

頒獎盛典，是本次峰會的特別環節，看雪誠邀2018看雪.京東CTF攻防雙方獲獎選手蒞臨峰會現場，併為其頒發證照及大獎。

看雪CTF在原CrackMe攻防大賽中發展而來，比賽分為兩個階段，一個階段是防守篇，所有論壇會員都可參與，根據比賽要求製作題目，若所出的題目最晚被攻破，就勝出。第二階段攻擊篇，也是論壇會員都可參與，攻擊第一階段的題目，攻擊的題目越快和越多，就勝出。

看雪CTF是看雪社群自建立以來，一直延續的傳統活動。自2000年至今，看雪CTF 已經歷了數十年的發展，匯聚了來自國內眾多的安全人才，高手對決，精彩異常。歷年來CTF中人才輩出，CTF的題目也愈加豐富多彩，題目涵蓋二進位制、Web、Pwn等眾多領域，突出了看雪論壇複合型人才多的優勢，成為企業挑選人才的重要途徑。

購票指南

去年的峰會門票早早的就被搶購一空，現場更是座無虛席。

所以今年要買門票的小夥伴們要抓緊啦！

早購買，不僅能保證買到票，還能享受5折優惠哦！

1、購票官網：https://www.bagevent.com/event/1134294

2、掃碼買票

購票二維碼

識別二維碼，立即購票哦！