2017 安全开发者峰会
议题持续征集Ing...
安全编程、软件安全测试、智能设备安全、物联网安全、车联网安全、
漏洞挖掘、移动安全、WEB安全、密码学、区块链、逆向技术、
加密与解密、系统安全....
议题不限~
提交的征文必须包含如下信息:
① 对演讲的题材进行简单的描述及说明之前是否发布、发布的范围。
② 对演讲者自身和工作经历描述。
③ 演讲过程中所需细节:
-
演讲需要多长时间
-
是否发布新的工具
-
是否发布新漏洞
所有征文通过
service@pediy.com
提交
征文截止日期 ——
2017 年 10 月 1 日
最后确认通知 ——
2017 年 10 月 10 日
无论您的议题是否被收录,我们都会通过您留下的联系方式告知您审核结果。
如果您的稿件被收录,意味着您将在会议上单独发表演讲,会议方将会为演讲者提供:
-
往返路费、餐费
-
会议期间的酒店住宿费用
-
SDCC会议和安全开发者峰会通票
-
媒体报道
如果你感兴趣,欢迎
投稿至service@pediy.com
提交你的议题
期待你的加入哦!
目前,本次大会部分演讲嘉宾和议题已经确定,现公布如下:
仙果,十年以上的网络安全从业经验,致力于网络攻防对抗技术研究,专注软件漏洞的分析与利用,看雪论坛【二进制漏洞】版主。
Flash 之殇 - 漏洞之王 Flash Player 的末路
Flash
Player 作为最受欢迎的多媒体软件,一直以来都受到大众的软件,遥想当年的闪客精灵时代,何其风光。自从Flash Player
荣登"漏洞之王"的宝座之后,Flash 就成了"千夫所指"的对象,本议题就以Flash player为题,为大家带来Flash
Player漏洞利用史,展现Flash 漏洞利用技术和攻防对抗技巧。
廖新喜(xxlegend),绿盟科技网络安全攻防实验室安全研究员,擅长代码审计,Web漏洞挖掘,拥有丰富的代码审计经验,曾在Pycon
2015
China大会上分享Python安全编码。安全行业从业六年,做过三年开发,先后担任绿盟科技极光扫描器的开发和开发代表,目前专注于Web漏洞挖掘,Java反序列化漏洞挖掘,给RedHat,Amazon提交多份漏洞报告。2016年网络安全周接受央视专访。
随着REST
API的流行,JSON的使用也越来越多,但是其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。在这次演讲中,主要阐述java
json库的反序列化特性导致的RCE。首先会介绍Gson,Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作,接着分析其安全机制,从其安全机制上发现哪些潜在的安全漏洞。然后会公布一些未公开的反序列化的的payload(以Fastjson举例说明),当然也可能包括0day,并且会对这些payload分类解读,从field类型,property类型的触发机制加以概括归纳。最后会从开发,运维的角度来防御这类安全问题。
收益:让更多的开发者理解Java反序列化漏洞,做好安全编码,做好安全防护,减少被黑客骚扰的机会。
陆麟,原NEC中科院软件研究所专家。现任上海高重信息科技有限公司CIO。长期研究系统内核。多年耕耘信息安全领域。
本演讲课题讲述Windows10系统因对Linux系统的支持所带来改变以及伴随而来的安全挑战。
毕裕,威胁猎人创始人兼CEO。曾任职于腾讯和猎豹移动,2011年起负责腾讯相关黑产研究及对抗。2015年起在台北负责猎豹移动海外安全团队,负责海外移动安全的相关产业链研究及打击。2016年与团队创业,专注互联网黑产研究及业务安全防护。
业务安全在2012年之前还只是以阿里、腾讯及携程等为主的局部战场,近些年随着垂直电商、社交、移动游戏和O2O等领域的快速发展,业务安全及反欺诈被更多的视线关注,但多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长,面对黑产的攻击会一时无措。作为防守方,除了对抗技术外,也要增强对黑产的认知,了解当前在一些业务核心问题上的对抗阶段和思路。
听众价值:从我们接触的多个案例表明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知,这个议题会从国内业务安全发展过程来帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。
