会议详情

17年来，看雪论坛在专业安全领域坚韧的发展着，不断有人加入，不断有人分享，技术不断更替，高手也越来越多。十几年来，其他很多安全论坛几乎都已经是昨日黄花，看雪论坛却始终保持活力。蛰伏17年后，看雪继终于发声，将于11月18日在北京举行《安全开发者峰会》,峰会将聚焦开发与安全，旨在以“防”为基准，安全开发为主旨，引导广大企业和开发者关注移动、智能设备、物联网等领域的安全，提高开发和安全技巧，创造出更安全的产品。

从2017年6月1日起《中华人民共和国网络安全法》正式实施后，国家将严厉执行网络安全规范，将网络安全提升到国家战略层面。这就意味着，出现安全问题，产品负责人及企业将承担法律责任。安全问题已不容忽视，一些有安全意识的前瞻性公司建立了自己的SRC（企业安全应急响应中心）并成立安全团队，为解决企业网络安全问题提供了有力的支撑。对企业负责人或研发人员而言，安全事故频发无疑是一场灾难。而解决安全问题的根本在于做到安全开发。安全设计应在一开始就作为项目开发的一部分来考虑，列入项目计划和开发成本中，并在保护强度、成本、易用性之间进行折衷考虑，选择一个合适的平衡点。本次《2017安全开发者峰会》聚焦“安全开发”，为安全人员与开发人员搭建一个桥梁，与安全专家直接面对面交流，了解当前和未来的一个安全方向。这是一个增长知识面、扩展人脉圈的绝佳机会。

会议日程

2017-11-18

09:00 - 09:07

大会致词

大会致词
09:08 - 09:15

看雪学院创始人致辞

看雪学院创始人致辞
09:15-09:45

Flash 之殇 - 漏洞之王 Flash Player 的末路

Flash Player 作为最受欢迎的多媒体软件，一直以来都受到大众的软件，遥想当年的闪客精灵时代，何其风光。自从Flash Player 荣登"漏洞之王"的宝座之后，Flash 就成了"千夫所指"的对象，本议题就以Flash player为题，为大家带来Flash Player漏洞利用史，展现Flash 漏洞利用技术和攻防对抗技巧。
09:45-10:15

浅析WEB安全编程

开发中容易忽略又比较常见的安全问题做一些介绍,并指导在开发中如何避免安全问题的产生。
10:15-10:45

业务安全发展趋势及对安全研发的挑战

业务安全在2012年之前还只是以阿里、腾讯及携程等为主的局部战场，近些年随着垂直电商、社交、移动游戏和O2O等领域的快速发展，业务安全及反欺诈被更多的视线关注，但多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长，面对黑产的攻击会一时无措。作为防守方，除了对抗技术外，也要增强对黑产的认知，了解当前在一些业务核心问题上的对抗阶段和思路。

听众价值：从我们接触的多个案例表明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知，这个议题会从国内业务安全发展过程来帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。
10:45-11:15

Windows 10新子系统*新挑战

本演讲课题讲述Windows10系统因对Linux系统的支持所带来改变以及伴随而来的安全挑战。
11:15-11:45

智能化的安全: 设备应用ICS

议题简介：物联网热潮和泛在信息化推动了智能设备和智能应用的迅猛发展，同时野蛮式生长也带来了大量的安全漏洞，一旦被利用就会爆发出远超传统信息化逻辑边界的物理性伤害。本议题首先用智能门锁为对WIFI和BLE两种组网类型的智能设备进行安全漏洞分析，然后分析日常生活中智能应用的典型安全漏洞，最后分享我们在工业控制系统方面的安全研究经验。

听众收益：让更多的开发者了解典型的安全漏洞，更好的提升产品的安全性；让更多的使用者了解身边的安全威胁，更好的保护自己的隐私和安全。
11:45-12:15

看雪版主及老会员座谈

看雪学院创始人kanxue，TR/TRW2000作者刘涛涛，中国个人站长第一人高春辉，CCG破解组织老大SunBird，看雪老坛主CCdebuger，『外文翻译』版主zmworm，『智能设备』gjden
12:15-12:20

抽奖

抽奖
12:20-13:30

午餐

午餐
13:30-13:35

抽奖

抽奖
13:35-14:00

移动APP灰色产业案例分析与防范

移动互联网时代，互联网业务飞速发展，在这样的大背景下滋润了一条以刷单、倒卖、刷榜、引流、推广为主的灰色产业链。他们以低成本换取了高额的利润，给互联网企业以及用户都带来了巨大的损失。加固技术、风险控制、设备指纹、验证码等技术也都在飞速发展，但实际效果并不能让人满意。

本议题将揭露多个真实案例的技术细节，开发流程，运营流程，并提出一些防护建议，协议安全需要从体系上进行加强。
14:00-14:30

开启IoT设备的上帝模式

当今 IoT 设备大量涌入智能家居领域，IoT 安全和大众的生活就息息相关了。演讲计划关注 IoT 设备开启上帝模式，即 root 模式的相关安全问题，包括 root 设备的技术手段, 获得 root权限后引发的潜在安全威胁，和缓解安全威胁的一些方法。为了提升效果，会首次公开两个已提交 CNNVD 的 IoT 设备 root 漏洞。
14:30-15:00

那些年，你怎么写总会出现的漏洞

针对开发者在编码时产生的意料之外的漏洞愿意以及漏洞分析
15:00-15:15

茶歇

茶歇
15:15-15:20

抽奖

抽奖
15:20-15:50

游戏外挂对抗的安全实践

本议题，将会以FPS类型游戏的自瞄外挂功能的对抗为例，通过对自瞄外挂实现原理的解析，阐述如何使用定制化的技术思想，达到对外挂作弊功能的持续压制。另外议题中也会涉及游戏漏洞挖掘的核心思路和方法技巧，游戏开发者自身提升游戏安全性的技术手段，安全防守方定制化方案分析、开发、实现的方法和技巧等内容。

听众收益：了解定制化的方案如何解决游戏外挂作弊的问题，能够收获游戏外挂对抗方案定制化建设的方法及技巧。
15:50-16:20

java json 反序列化之殇

随着REST API的流行，JSON的使用也越来越多，但是其中存在的安全问题却不容忽视，特别是由于反序列化导致的远程代码执行更是威力十足。在这次演讲中，主要阐述java json库的反序列化特性导致的RCE。首先会介绍Gson，Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作，接着分析其安全机制，从其安全机制上发现哪些潜在的安全漏洞。然后会公布一些未公开的反序列化的的payload（以Fastjson举例说明），当然也可能包括0day，并且会对这些payload分类解读，从field类型，property类型的触发机制加以概括归纳。最后会从开发，运维的角度来防御这类安全问题。

听众收益：让更多的开发者理解Java反序列化漏洞，做好安全编码，做好安全防护，减少被黑客骚扰的机会。
16:20-16:50

一石多鸟——击溃全线移动平台浏览器

“越狱！”——苹果用户的超级热点、终极话题王，软件安全“皇冠上的明珠”，也是软件安全世界价值观和方法论的总和；越狱所使用到的技术之深、范围之广，堪称二进制漏洞利用领域之桂冠！利用Webkit漏洞进行远程越狱就是其中一例！让我们来通过具体的木马案例分析，来打开这扇通往技术盛宴的大门，大肆饕餮漏洞利用领域的无尽迤逦与风光。
16:50-17:20

如何黑掉无人机

本议题是基于某品牌无人机的某些机型上进行的研究，系统的介绍某品牌无人机的架构体系、功能模块、传感器等，包括各个组件的攻击面、安全防护体系、软硬件反调技术及其绕过方法，并深度解读无线宽带通信等。现场会介绍一个不需要通过软件漏洞就能Root某品牌无人机的方法，以及如何远程劫持一台无人机。