KCon 2013 PPT

2013年8月21日上周三,小编来到北京金台饭店,参加了由互联网安全厂商知道创宇主办的第二届Web安全论坛Kcon v2,这次会议对外不收取任何费用。值得一提的是,这次Kcon和中国的顶级黑客会议Xcon在同一个酒店,同一个会议厅内,而且提前Xcon一天,大有一种狭路相逢勇者胜的意味:)

活动介绍:

互联网表面光鲜,实则暗潮涌动,各势力明里暗里不断角逐,这些都是大众无法感知到的,哪怕是安全从业者也不一定能感知。

在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。今年“棱镜项目”的曝光,也让大众明白了网络安全的严峻性与个人隐私的悲剧性,这绝不是个人英雄时代,而是群体智慧时代!Web是网络攻击的一个主要且极其脆
弱的入口。为了更好地应对Web攻击,带你了解Web安全的方方面面,知道创宇聚集业内的白帽子,本着自由、开放的精神,举办Web安全技术交流的论坛。

无论您是甲方、还是乙方、组织还是个人,只要遵守自由、分享、开放的原则,即可报名参加本论坛,交流学习Web安全技术,让我们进入群体智慧时代!

活动形式:

KCon v2知道Web安全论坛是一个交流前沿、边缘、主流的Web安全技术、技巧、案例的开放论坛。

每期活动我们会通过知道创宇官方网站(http://www.knownsec.com/)、邮件及合作伙伴的渠道,以及知道创宇新浪微博(@知道创宇)发布信息。

活动流程:

12:30—13:30 签到
13:30—18:00 主题演讲与讨论(五个议题,茶歇)
18:00 大会礼品领取

活动时间及地点:

时间:2013年8月21日,下午13:30—18:00

地点:金台饭店(地安门西大街38号,近平安里地铁站,平安里地铁站向东500米左右)

活动时间及地点
活动时间及地点

活动收费方式:

参会嘉宾无需付费,报名一周后,我们会专人联系您确认参会资格。

主办单位:

北京知道创宇信息技术有限公司

大会现场:

会议共5个议题,侧重Web安全,均为技术性议题,议程为当日一个下午。小编中午早早来到会场,看到会务组的妹子们在准备签到事宜及茶歇的食品,忙碌而有序。工作人员也在布置会场。细致的签到流程,丰富的茶歇食品,门口的宣传易拉宝,讲台上的巨幅Kcon背景,每个细节都做的很到位,完全不亚于其他任何一场专业的安全会议。

KCon 2013 大会现场
KCon 2013 大会现场
KCon 2013 大会现场
KCon 2013 大会现场

随着会议时间的临近,签到处的人越来越多,渐渐的排起了长队,看下图中小伙伴们的衣着和装备,一股浓浓的IT范儿。

KCon 2013 大会现场
KCon 2013 大会现场

妹子为每位入场的同学贴上会议标识。

KCon 2013 大会现场
KCon 2013 大会现场

下午一点半,会议准时开始,会场内场面壮观,320个左右的座位,座无虚席,而且在会场的两翼和后部,也都围满了人,小编大致算了算,参会者总共达到了500多人。

KCon 2013 大会现场
KCon 2013 大会现场
KCon 2013 大会现场
KCon 2013 大会现场

首先由知道创宇网站安全部总监余弦进行Kcon议程及演讲者的介绍。毕竟下午的时间有限,议题较多,闲话不多说,第一个议题由知道创宇高级安全研究员黑哥带来《去年跨过的浏览器》。详实的介绍了其在去年研究过的各种国内山寨浏览器的安全漏洞,通过真实的案例讲解浏览器中常见的安全问题及利用方法,作为国内Web安全第一人,黑哥谦虚的自言其找出来的基本都是XSS类型的漏洞,至于那些溢出类型的都是高富帅们玩儿的:)

知道创宇高级安全研究员黑哥
知道创宇高级安全研究员黑哥

来自天融信阿尔法实验室的安全研究员sH同学的《Having Fun with XML Hacking》,介绍了基于XML技术的多种类型的攻击手法,XML注入,外部实体攻击等。

天融信阿尔法实验室的安全研究员sH
天融信阿尔法实验室的安全研究员sH

来自百度的d4rkwind从甲方的角度出发,分享了其在甲方处理漏洞时的经验,加以总结和提炼,带来《互联网公司通用XSS解决方案探讨》的议题,可以作为各大甲方厂商处置XSS漏洞时的参考,也可以学习其中共通的方法,延伸到其他类型的漏洞中去。

百度的d4rkwind
百度的d4rkwind

来自习科的YoCo Smart,将Web安全的范围扩大到了终端机的B/S操作界面当中,利用主流的Web安全技术,对终端机进行安全测试,让人耳目一新。

习科的YoCo Smart
习科的YoCo Smart

会议之中临时增加了一个议题,由cncert的美女博士胡俊带来《通过cncert看安全》,讲述cncert对当前安全局势的看法以及对一些攻击事件的处理响应机制。

cncert的美女博士胡俊
cncert的美女博士胡俊

最后的压轴议题由来自知道创宇的架构师小雨分享知道创宇大数据网络空间搜索引擎Zoomeye的架构技术细节。虽然已经傍晚6点多,但现场的气氛依然高涨,演讲结束后,参会者频频提问。

创宇的架构师小雨
创宇的架构师小雨

这次Kcon令小编印象非常深刻,应该算是民间举办的最大规模的一次安全会议了,而且完全开放,免费。对于这种会议,小编我只能说,多多益善:)

最后照例,以一张妹子的图片收尾,觉得小编我够意思的就点个赞吧。

KCon 2013 大会现场
KCon 2013 大会现场

 全程演讲视频:

知道创宇Web安全技术论坛第二期(KCon v2)全程演讲视频

PPT下载链接:

(下载服务器位于美国境内,为私有云,流量充足)

【议题:去年跨过的浏览器】演讲人:黑哥(ID:Superhei),知道创宇高级安全研究员。探讨一下山寨浏览器里的各种Cross Context Scripting攻击。
下载链接:去年跨过的浏览器.ppt
演示视频:360se.aviandroid-qq.aviliebao.avimaxthon3.avisgou.avi

【议题:Having Fun with XML Hacking】演讲人:ID:sH,天融信阿尔法实验室安全研究员、XEYE团队成员。专注于WEB安全研究、漏洞分析、渗透测试等领域。正如我们所知,随着开发人员的安全意识越来越高,在应用中几乎不会出现一些非常明显的漏洞,随着应用越来越庞大、逻辑越来越复杂,有些需求要用到XML来实现,但很多开发人员还没有充分意识到在使用和解析XML文件时可能会导致安全问题出现。议题分享了一些XML相关漏洞的利用方法和技巧。
下载链接:sH:Having Fun with XML Hacking.pptxHaving Fun with XML Hacking.docx
演示视频:sH:DEMO1_phpmyadmin_xxe.wmvsH:DEMO2_Zend_Framework_XXE.wmvsH:DEMO3_postgresql_smb.wmv

【议题:互联网公司通用XSS解决方案探讨】演讲人:ID:d4rkwind,百度安全团队高级安全工程师,目前主要从事公司产品安全的研究与建设以及相关平台工具的研发工作,致力于研究Web安全、云安全及移动端应用安全等。XSS漏洞是目前互联网公司最常见的漏洞,虽然尚未引起质变,但由于其产生之易、数量之多,仍然对UGC、支付、云等业务产生了不小的安全威胁。在当前研发人员普遍对XSS漏洞认知仍然很低的现状下,互联网公司应如何做好通用XSS解决方案……
下载链接:互联网公司通用XSS解决方案探讨.pptx

【议题:终端机的多样化安全问题与利用】演讲人:ID:YoCo Smart,在习科网络信息安全公司任研发主管,专注非主流入侵与反入侵、持续性渗透等研究。Web安全并不仅限于脚本和数据库安全,移动互联的兴起为各类终端机带来了多样化的安全问题。安全问题存在于种种交互式终端,手机、平板、缴费机、售票机、ATM机、高铁机车……
下载链接:终端机的多样化安全问题与利用.ppt

【议题:ZoomEye网络空间搜索引擎技术架构】演讲人:ID:小雨,来自知道创宇网站安全部,ZoomEye项目技术负责人,曾从事WEB开发工作多年。ZoomEye国内首家网络空间搜索引擎。百度、谷歌提供的是网页搜索,而我们提供的是网站组件及主机设备搜索。在安全与大数据的背景下,ZoomEye的开放与发展引起广大关注与争议,我们将更加开放ZoomEye,包括技术架构与一些模式。
下载链接:ZoomEye简介及架构设计.pptx
优酷在线观看:http://v.youku.com/v_show/id_XNjA4Mzc1MzUy.html

 

其他相关文章:

打赏作者
这里是 “ CCIE 工程师社区 ” 官方的捐款通道,您是否可以考虑请我们喝杯咖啡呢?

您的支持将鼓励我们继续创作!

[微信] 扫描二维码打赏

[支付宝] 扫描二维码打赏

Was this article helpful?

Related Articles

Leave A Comment?

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据