本次看雪《走進企業看安全》線下活動，走進的企業是“美團點評”。活動一經發出後，報名相當火爆，經過篩選和稽核後，最終有40餘名小夥伴加入到了此次活動中，下面就讓我們一起來回顧下2019年5月25日，活動當天的情況吧~

△技術沙龍在北京美團點評總部順利舉行

△ 美團站 沙龍現場

活動於下午1點半開始，完成簽到後，每位小夥伴都領取了美團安全團隊為大家準備的精美伴手禮，等待活動的正式開始。

本次活動由美團安全基礎研究負責人吳建強主持，在主持人熱情洋溢的開場詞後，看雪副總裁黃敏對此次交流會致辭。隨後在大家的期待中開始了此次活動議題的演講。

△美團安全基礎研究負責人-吳建強

△看雪副總裁-黃敏致辭

乾貨議題 分享

Weblogic漏洞挖掘與實戰

演講人：廖新喜(xxlegend) 

簡介： 綠盟科技安全研究經理，8年安全攻防經驗。擅長程式碼審計，Web漏洞挖掘，擁有豐富的程式碼審計經驗。做過三年開發，先後擔任綠盟科技極光掃描器的開發和開發代表，目前專注於Web漏洞挖掘，尤其是Java反序列化漏洞，曾向RedHat、Apache、Amazon，Weblogic和阿里提交多份RCE級別漏洞報告，被譽為國內Weblogic漏洞挖掘的引導者。

議題概述：

Weblogic在國內被很多大型機構使用，可是最近接二連三爆出高危漏洞，持續時間長達4年。本分享主要從反序列化漏洞入手，分析Weblogic從15年到19年的所有高危漏洞，包括補丁分析，補丁繞過，實戰利用，安全防護。重點會分析最近爆發的CVE-2019-2725，還請期待。

可利用核心漏洞那些事

演講人：楊成明

簡介：擁有多年網際網路移動端漏洞攻防對抗經驗，長期從事OS層漏洞挖掘和漏洞利用的研究。

議題概述：

Android 裝置核心提權一直備受關注，本次的議題就講師這些年挖掘過、報過、未披露的那些漏洞，從漏洞挖掘、漏洞成因以及每個案例的完整利用做了一次披露 ，案例內容包括裝置端 chips 類多個平臺的各種洞型。

PHP反序列化漏洞分析與實踐

演講人：湯青松

簡介：6年安全從業經驗，擅長安全開發、程式碼審計等甲方安全工作，《PHP安全開發實戰》作者，中公教育高階安全工程師；2017年看雪大會中分享《淺析安全編碼》、2017年 Devlink大會分享《PHP安全開發 從白帽角度做安全》。

議題概述：

PHP反序列化漏洞大部分時候並不是熱點漏洞型別，但如果此漏洞達到利用的條件，一般都會產生很嚴重的後果；因此有不少公司在招聘時會提到此漏洞的資訊，說明反序列化漏洞的技能點是很多公司所關注的。

PHP的反序列化漏洞也叫PHP物件注入，主要原因沒有對前端傳入的的序列化字串進行檢測，導致攻擊者透過控制反序列化過程，從而導致程式碼執行、檔案操作、執行資料庫操作等不可控後果；這一類攻擊在java、python等面嚮物件語言中也都存在，在程式碼審計以及CTF中經常能夠遇到。

本次議題就PHP反序列化漏洞原理進行漏洞成因以及原理分析，結合案例的做演示 ，希望讓更多的人關注此漏洞的危害。

APT檢測裝置的擴充套件研究--甲方的最佳自我實踐

演講人：朱學文

簡介：9+年的安全研究經驗，其中7+年主要從事高階威脅的研究，包括0Day、nDay和漏洞挖掘，多次作為Speaker受邀參加BlackHat、CodeBlue、CSS等國內外的頂級安全會議。

議題概述：

對於大多數甲方公司來說，為了防護高階威脅（未知病毒、0Day等），一般都會採購相關APT檢測裝置來進行邊界防護和內網審計，其中動態沙箱和蜜罐是最主要的組成部分。廠商們的APT檢測裝置顯然是不足的，或者說是空白，一旦駭客從這些裝置入手，必將帶來很大的威脅。所以，美團安全研究院嘗試做了一些擴充套件研究，並結合我們的實際情況，增加了廠商沒有而我們又必須接入的相關裝置的動態沙箱和蜜罐，講師就此展開精彩的分享。

休息茶歇 提問

在燒腦議題的介紹期間，美團還為大家準備了短暫的茶歇環節，提供了豐富的零食小點與飲料。

△茶歇交流

所有的議題分享結束後，交流會進入到了Q&A討論環節，在座的小夥伴們都對議題其中的熱點與疑問，踴躍發言，積極提問，導師們也為大家進行了耐心的講解，讓參加此次活動的小夥伴們受益匪淺！

△活動現場

企業參觀 晚宴

隨後，美團點評親切的工作人員，帶領大家參觀了公司，講解了公司的發展歷程與集團使命，在“美團大腦”的資料展示中讓大家更深入、生動的瞭解美團點評，同時還解鎖了一些產品使用中的 “小彩蛋”~然後大家合影留念，用影像為此次活動留下回憶。

△集團講解

△活動合影

最後也由衷的感謝美團安全團隊，為此次互動的參與者，提供了豐盛的晚宴。小夥伴們在補充能量的同時，繼續就資訊保安熱點及風向展開討論。

最後，“看雪走進企業看安全”技術沙龍在大家的掌聲和歡笑聲中圓滿落幕。透過這次活動，看雪學院與美團安全建立了良好的溝通與深入的交流，也讓資訊保安圈的技術小夥伴們得到了切磋與學習。在此，感謝本次活動的所有參與人員，也感謝美團點評的對本次活動的大力支援！

本期合作 公司

美團的使命是“幫大家吃得更好，生活更好”。作為全球領先的生活服務電子商務平臺，公司擁有美團、大眾點評、美團外賣、摩拜單車等消費者熟知的App，服務涵蓋餐飲、外賣、叫車、共享單車、酒店旅遊、電影、休閒娛樂等200多個品類，業務覆蓋全國2800個縣區市。2018年全年，美團的總交易金額達5156.4億元，同比增長44.3%，年度交易使用者總數達4.0億，平臺活躍商家總數達580萬。2018年9月20日，美團（股票程式碼：3690.HK）正式在港交所掛牌上市。

當前，美團戰略聚焦 Food +Platform，正以“吃”為核心，建設生活服務業從需求側到供給側的多層次科技服務平臺。與此同時，美團正著力將自己建設成為一家社會企業，希望透過和黨政部門、高校及研究院所、主流媒體、公益組織、生態夥伴等的深入合作，構建智慧城市，共創美好生活。

《看雪走近企業看安全》系列活動，秉承以技術交流為主線的主旨，透過純技術類交流，為企業與安全人士搭建起一個技術分享、交流的平臺。前期系列活動，帶領大家走進知道創宇、百度、360、微軟、中國平安、愛加密、啟明星辰、梆梆安全、愛加密、幾維、娜迦等業內極具影響力的公司。透過與這些優秀企業的深入交流，與會者收穫頗豐，活動取得圓滿成功。

如果您是
安全領域的創業公司
網際網路安全公司
網際網路廠商的安全部門
傳統行業的運維部門
....
如果您想對中國安全人才的培養進一份微薄之力，

如果您願意為我們提供活動場地，

如果您考慮分享您的安全經驗,

請您與我們聯絡！

聯絡方式：

      QQ：882704

      電話：13611684418

      郵箱：service@pediy.com

www.kanxue.com
看雪團隊