幾周前震驚業界的攜程信用卡信息泄露事件，互聯網安全問題再度吸引了大家眼球。攜程的漏洞最初由烏云漏洞報告平臺報告，這究竟是怎么一回事兒？本屆QCon在安全話題上為您準備了足量內容。

QCon安全專題請到了烏云漏洞報告平臺聯合創始人孟卓， 為大家分享《烏云的背后是陽光》。孟卓2003年開始對網絡攻防技術產生濃厚興趣，2007年畢業后加入新浪網負責線上產品與企業安全等工作。期間在安全 性測試，安全防護方案與項目研發等領域都有所涉及。在經過五年的甲方企業安全工作后，體會到安全領域的種種無奈，希望經過平臺的努力讓大家看到安全從業者 的重要性，以公平中立的角度令我們了解網絡安全現狀并促使各方面加以改善。他的演講內容是：

隨著互聯網的迅猛發展，網絡安全問題變的越來越撲朔迷離，它即是老牌互聯網企業迅猛發展時必須去考慮的問題，也是新一代互聯網生力軍提升產品保障與競爭實力的一重要途徑。 通過這次的分享，我希望能夠從特殊的角度給大家折射出一些比較有趣、又令人深思的數據與信息：

• 互聯網安全囧事兒
• 通過分析目前的安全漏洞趨勢，找出軟肋
• 新興技術、產品或領域的“空白”安全
• 如何建立企業、研發、安全研究者與用戶的安全生態圈
• 烏云做了那些努力與成果

希望這些信息可以讓互聯網安全“老兵”與“新兵”們，在今后的網絡安全工作與生活中得到幫助，在今年的信息安全建設上得到一個飛躍！

攜程安全架構高級經理羅啟武會為大家分享《大規模日志的實時安全分析》。羅啟武主要負責安全架構團隊，從事安全評估、應急，安全架構，賬戶安全，安全系統建設等工作；同時也是【Sebug漏洞庫】的創始人。

攜程旅行網經常會遇到一些常見的惡意攻擊，如撞號、抓數據、惡意掃描等等，對用戶、服務器、帶寬等資源都是一種損失。攜程在這期間，也是摸著石頭過河，有過痛苦也有過喜悅。

如何建立一款基于大規模日志分析的規則引擎（各種識別規則或模型）、實時計算的安全分析產品；從日志中找到一些好玩的東西，并在日志中發現各種驚喜和秘密。分享在這個過程中攜程的一些辛酸歷程。

安全寶的好小伙，安全寶安全團隊主管尹毅在公司主要負責waf維護、數據分析、安全服務以及安全團隊管理，致力于WEB安全研究，喜歡代碼審計，喜歡編程。這次他會為大家分享《移動應用安全漏洞自動化挖掘與利用》：

現在已進入移動互聯網時代，吃喝玩樂、辦公支付等等各種應用都在搶占移動APP市場，由于安全無處不在的本質，在多年前就已經有少數人在研究移動 APP的中木馬、釣魚等等，但很少有人想到移動APP安全跟WEB安全的關系，目前移動APP大多都有跟遠程服務器交互，而且基本都是以WEB API服務的方式，這使得移動APP安全跟WEB安全綁的非常緊。但往往很多漏洞都發生在這些API接口上，再加上目前這塊不是很受關注，導致大多數移動 APP都沒有在這塊架設一些CDN、WAF、IPS等設備，使得存在漏洞的API接口完全裸露在互聯網中。本次他將分享：

1. 移動APP市場安全現狀
2. 安卓APP的反編譯及漏洞挖掘
3. 利用移動APP滲透的各種“猥瑣”思路
4. 自動化移動APP安全漏洞挖掘的程序實現

業界鼎鼎大名的腳本黑客周景平（黑哥）也是這次安全專題的演講嘉賓。黑哥是一名有5年多的從業經驗的外科醫生，2012黑哥加入知道創宇，轉行安全。關于這位業內最著名的傳奇黑客，請見“道哥的黑板報”對黑哥周景平的專題文章：《中國黑客傳說：我是超級黑》。

這次黑哥要分享的話題是《General Mass Threat》：

這個世界存在兩種男人一種是“高富帥”，而另外一種就是“屌絲”。他們的生活是截然不同的！就連在網絡世界里受到的攻擊威脅都是不一樣 的：APT（Advanced Persistent Threat）主要的攻擊目標就是“高富帥”，而廣大的“屌絲”是很難享受到這樣的高級的待遇，只能被GMT（General Mass Threat）了...

為了我等“屌絲”那點點無聊的“自尊”，本次我主要是介紹一下“屌絲”網站受到一些攻擊方式，希望更多的人在感嘆關注“高富帥”的APT的同時，稍微關心一下我等“屌絲”的安全。

知道創宇一直都很關注中小企業及草根站長們的網站安全問題，我們推出了免費的網站掃描（安全聯盟站長平臺），免費的CDN云WAF（百度加速樂）防 御，各種應用程序漏洞預警等服務，本次議題我也會和大家介紹并分享一些我自己的安全觀及與一些與“黑客”在一線戰斗有趣的事情…

上海二三四五互聯網研發中心高級開發經理馬東京會 為互聯網時代的Web安全指引道路，分享《WEB類安全實施及部署》的話題，分析目前WEB安全的形式，介紹目前國內WEB網站安全形式，并對漏洞進行圖 解，舉例介紹漏洞問題，同時總結經常碰到的產生漏洞的原因。最后他還會介紹如何預防WEB安全問題，通過指紋平臺和代碼發布平臺保障代碼不會被篡改，通過 日志分析平臺分析目前代碼中可能存在的漏洞。

技術訓練營信息：

本屆大會全新打造的技術訓練營（原會前培訓）已經上線，在訓練營中，我們邀請QCon講師為對某一個領域具體實戰技能感興趣，入門淺的朋友提供集中的培訓和指導。

現在 目前已上線的訓練營包括《敏捷與模塊化－OSGi理論與實踐》、《iOS入門與進階》、《JavaEE，企業應用互聯網化的架構選擇探討》，和許多不同類別的測試課程，以及一門認證類課程《實踐中的看板》。課程詳情及報名方式，請查閱技術訓練營頁面。

更多精彩信息不斷更新中，詳請跳轉至大會官網查閱。如有更多需要咨詢，請聯系qcon@cn.infoq.com，或直接致電010-64738142。報名請點擊報名頁面。