2018年7月21日，拥有18年悠久历史的老牌安全技术社区——看雪学院联手国内最大开发者社区CSDN，倾力打造一场技术干货的饕餮盛宴——2018 安全开发者峰会，将在国家会议中心隆重举行。会议面向开发者、安全人员及高端技术从业人员，是国内开发者与安全人才的年度盛事。

峰会将聚焦开发与安全，“万物互联，安全开发”，旨在以“防”为基准，安全开发为主旨，引导广大企业和开发者关注移动、智能设备、物联网等领域的安全，提高开发和安全技巧，创造出更安全的产品。

此外峰会将展现当前最新、最前沿技术成果，汇聚年度最强实践案例，为中国软件开发者们呈献了一份年度技术实战解析全景图。

秉承着技术与干货的原则，看雪学院精心筛选的议题涵盖了安全编程、软件安全测试、智能设备安全、物联网安全、漏洞挖掘、移动安全、WEB安全、密码学、逆向技术、加密与解密等，吸引了业内顶尖的开发者和技术专家，旨在推动软件开发安全的深入交流与分享，为安全人员、软件开发者、广大互联网人士及行业相关人士提供最具价值的交流平台。

本次峰会受到了梆梆安全、娜迦、阿里安全、腾讯安全、百度安全、Wifi万能钥匙、京东安全、360公司、几维安全、爱加密、金山毒霸（猎豹旗下品牌）、腾讯TSRC、科锐培训、同盾科技、15派培训等等数十家公司的大力支持和赞助。 

重磅议题，惊喜一“夏”~

1、《端到端通信中危险的中间盒子：祝福还是诅咒？》

演讲嘉宾： 段海新

议题简介：将结合团队近年的研究成果，介绍Web通信中的各种中间盒子存在的安全问题，包括注入广告或恶意内容、泄露用户隐私、缓存污染、大规模拒绝服务攻击等。

2、《智能设备漏洞挖掘中几个突破点》

演讲嘉宾： 马良

议题简介：本议题主要针对智能设备固件提取的攻防手段进行了整理和总结。

先对嵌入式系统的软硬件的基础架构做了介绍，然后会详细讲智能设备提取固件的十大方法，涉及到的软件和硬件工具，工具的作用和用法。本议题对智能设备安全研究人员提取固件的常用方法进行梳理, 也对开发者提出了一些安全方面的建议, 避免厂家辛苦开发出的产品、想要保护的固件没有保护好，被轻易提取出固件分析。无论是开发者还是安全爱好者都值得一看。

3、《NLP机器学习模型安全性及实践》

演讲嘉宾：吴鹤意

议题简介：现在AI在各行各业的应用越来越多，但是对于AI模型的安全性研究相对落后。虽然国内外一些安全专家已经有了部分的研究成果，但是现阶段，从业务安全的角度，还没有很多的研究资料。本演讲从AI在自然语言处理领域NLP的实际应用出发，通过实例（国内知名NLP机器人产品），介绍AI问答机器人产品的业务安全问题，试图打破AI和业务安全之间的壁垒，推进AI在行业中的落地应用。

4、《iOS App 安全审计与案例分享》  

演讲嘉宾：黄涛

议题介绍：本议题将会分享盘古实验室在针对iOS平台的App审计的工作过程中应用的技术手法和发现的常见问题。同时结合真实案例详细介绍在App审计过程中发现并利用ZipperDown的技术细节，包括ZipperDown对微博、qq音乐、陌陌等用户数量达到千万级别的APP的影响以及我们在构建ZipperDown完整攻击链的过程中遇到的问题和解决思路。

5、《硬件钱包安全分析》  

演讲嘉宾：胡铭德

议题介绍：随着区块链技术的兴起，国内国外出现很多硬件钱包厂家，由于大多厂家对安全理解不到位，出现很多设计架构的一些问题，我们做了相关安全研究。

国内很多比特币硬件钱包是基于手机平台开发（mtk）由于该平台usb接口存在漏洞。利用该漏洞我们可以对固件修改  ，对手机钱包app修改，从而打开wifi蓝牙接口。进而完全控制钱包的私钥。同时也会涉及国外其他硬件钱包设计缺陷。最后通过一些演示证明此类钱包的不安全性和脆弱性。

6、《Vuln or Flag in PHP Manual》  

演讲嘉宾：邓永凯  

议题简介：本议题将介绍php中正常的非危险函数在某些场景下也一样存在安全风险，因为很多开发者认为官方手册的说明和方法应该是最标准的，没有任何问题的，所以就直接拿过来使用。

然而，如果没有认真仔细阅读及测试PHP manual中的使用方法，这些潜在安全风险就会被黑客恶意利用导致安全漏洞，而且这些潜在威胁就存在php官方的php manual当中只是需要你去发现它们，这些看似正常但是存在潜在威胁的函数方法经常会出现在代码审计、CTF挑战、漏洞利用Bypass当中。

7、《被“幽灵”所困扰的浏览器》  

演讲嘉宾：宋凯

议题简介："Spectre"是一个严重的CPU漏洞影响了大部分的主流架构。攻击者可以通过缓存来利用这个漏洞，可以泄漏用户级进程中的敏感数据。大部分公开的攻击，都是本地攻击。如果可以通过浏览器进行漏洞利用，则对用户的大规模攻击将成为可能。并且因为浏览器用户量的庞大，如果攻击者成功这将是灾难性的。

在这个演讲中，我们将分享如何在浏览器中利用"Spectre"漏洞。我们将介绍如何通过Javascript触发"Spectre"漏洞并且生成可以稳定刷新缓存的汇编指令。由于侧信道漏洞的性质，我们做了大量的工作来提高漏洞触发的稳定性。我们基于在浏览器中稳定的利用程序，及时的发布了在线检查工具，帮助了成千上万的用户测试他们的设备是否可能被攻击。根据用户反馈，几乎所有的设备都可能成为受害者，包括Surface Pro、iPhone X、Pixel 2等等。

尽管 "Spectre" 漏洞影响了大量的用户，但它能否在实际的攻击中产生危害呢？我们会展示在浏览器中，通过"Spectre" 漏洞可能造成的实际危害，并讨论相关的缓解措施。

更多精彩议题正在快马加鞭的赶来......

两大安全训练营，充电不停

看雪诚邀业内大牛，为大家带来三大安全培训。

WEB安全编程训练营

硬件安全训练营——《智能摄像头漏洞挖掘实战培训》

更多详情，可跳转官网查看：https://www.bagevent.com/event/1134294?bag_track=freebuf

颁奖盛典，精英齐聚

颁奖盛典，是本次峰会的特别环节，看雪诚邀2018看雪.京东CTF攻防双方获奖选手莅临峰会现场，并为其颁发证书及大奖。

看雪CTF在原CrackMe攻防大赛中发展而来，比赛分为两个阶段，一个阶段是防守篇，所有论坛会员都可参与，根据比赛要求制作题目，若所出的题目最晚被攻破，就胜出。第二阶段攻击篇，也是论坛会员都可参与，攻击第一阶段的题目，攻击的题目越快和越多，就胜出。

看雪CTF是看雪社区自建立以来，一直延续的传统活动。自2000年至今，看雪CTF 已经历了数十年的发展，汇聚了来自国内众多的安全人才，高手对决，精彩异常。历年来CTF中人才辈出，CTF的题目也愈加丰富多彩，题目涵盖二进制、Web、Pwn等众多领域，突出了看雪论坛复合型人才多的优势，成为企业挑选人才的重要途径。

购票指南

去年的峰会门票早早的就被抢购一空，现场更是座无虚席。

所以今年要买门票的小伙伴们要抓紧啦！

早购买，不仅能保证买到票，还能享受2.5折优惠哦！

购票二维码

识别二维码，立即购票哦！