白帽子的盛會(huì):第一屆web安全論壇(kcon)實(shí)錄
2012年7月1日,知道創(chuàng)宇第一屆Web安全論壇Kcon在車庫(kù)咖啡成功舉辦。本次論壇的嘉賓均是在web安全行業(yè)的領(lǐng)軍人物,多年來(lái)長(zhǎng)期從事Web安全研究和相關(guān)產(chǎn)品研發(fā),在安全領(lǐng)域有著極其豐富的經(jīng)驗(yàn)。本次論壇共計(jì)四個(gè)議題,分別為:天融信安全研究中心阿爾法實(shí)驗(yàn)室Xisigr帶來(lái)的《瀏覽器魔術(shù)》;知道創(chuàng)宇研究部總監(jiān)余弦?guī)?lái)的《JavaScript安全從瀏覽器到服務(wù)端》;清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室副研究員諸葛建偉老師帶來(lái)《"blue-lotus團(tuán)隊(duì)defcon 20 ctf資格賽"回顧》以及知道創(chuàng)宇安全研究員hysia帶來(lái)的《Web Application Detector - 一種快速識(shí)別web應(yīng)用程序的方法》。
在演講開始,由知道創(chuàng)宇CEO趙偉(IC)和大家分享了我們所提倡的黑客精神:以創(chuàng)新改變世界。
?? ??
在《瀏覽器魔術(shù)》議題中,演講者xisigr以一個(gè)驚艷全場(chǎng)的魔術(shù)開場(chǎng),引出了議題的主題--瀏覽器魔術(shù)。該議題給大家展示了基于瀏覽器的各種欺騙手法,分別是URL地址欄欺騙、URL狀態(tài)欄欺騙、標(biāo)簽欺騙和頁(yè)面欺騙四大類,各種欺騙形式讓參會(huì)者大開眼界。最后,xisigr以電影《致命魔術(shù)》的一句經(jīng)典臺(tái)詞作為結(jié)尾:"我們倆都是年輕人,要將自己獻(xiàn)身于偉大事業(yè)的開創(chuàng), 我們是天生的魔術(shù)師,但我們不會(huì)用自己的天賦去傷害任何人。"
?? ??
第二位出場(chǎng)的是知道創(chuàng)宇的研究部總監(jiān)余弦。他帶來(lái)的議題是《JavaScript安全:從瀏覽器到服務(wù)端》,演講者結(jié)合自己多年來(lái)web安全研究的經(jīng)驗(yàn),給大家分享了javascript在瀏覽器端的各種安全應(yīng)用,并介紹了MongoDB和node.js中存在的一些安全問題,讓大家見識(shí)到了幾乎無(wú)所不能的JS。余弦在PPT中用一句很酷的話表達(dá)了自己的觀點(diǎn):"戰(zhàn)場(chǎng)有多大,我就能玩多大",web就是余弦的戰(zhàn)場(chǎng)。
?? ??
這個(gè)議題引起了大家的興趣,很多同行們積極提問,演講者也做了相應(yīng)解答。
接著出場(chǎng)的是清華大學(xué)的諸葛建偉,諸葛老師為大家介紹了Blue-Lotus黑客競(jìng)賽戰(zhàn)隊(duì)參加Defcon 20 CTF資格賽的經(jīng)歷,讓大家感受到了參加比賽時(shí)那種既緊張有興奮的心情。演講非常精彩,給大家講解了比賽中每道題的解題思路,都是些非常有意思的思路。演講中笑點(diǎn)也很多,現(xiàn)場(chǎng)氣氛很活躍。最后諸葛老師也用一句幽默的話來(lái)結(jié)束了此次議題:"一黑黑一天,妹紙晾一邊;一黑又一天,黑友共爭(zhēng)先!"
最后,來(lái)自知道創(chuàng)宇的安全研究員hysia給大家分享了一種快速識(shí)別web應(yīng)用程序的機(jī)制。該議題重點(diǎn)介紹了進(jìn)行web應(yīng)用指紋特征識(shí)別的方法和快速篩選識(shí)別規(guī)則的技巧,多個(gè)識(shí)別策略和技術(shù)細(xì)節(jié),讓大家收獲良多。最重要的,這種無(wú)私的分享精神值得稱贊!
?? ??
嘉賓簡(jiǎn)介:
Xisigr:天融信安全研究中心阿爾法實(shí)驗(yàn)室,國(guó)內(nèi)XEYE團(tuán)隊(duì)成員:專注Web安全、Html5安全、瀏覽器安全。
余弦:知道創(chuàng)宇研究部總監(jiān),長(zhǎng)期從事Web安全研究與相關(guān)產(chǎn)品研發(fā),這些年主要精力在Web Hacking上。XEYE成員。
諸葛建偉博士:清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室副研究員。狩獵女神團(tuán)隊(duì)負(fù)責(zé)人,The Honeynet Project Full Member & Chinese Chapter Leader。《網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐》、《Metasploit滲透測(cè)試指南》等書籍作者。
Hysia:知道創(chuàng)宇安全研究員,長(zhǎng)期從事掃描器開發(fā)和web安全研究,同時(shí)也是個(gè)python控。
