FIT 2019议题前瞻:Bugbounty到网络空间,如何成长为顶尖漏洞猎人丨X-Tech技术派对

2018-11-29 52227人围观 ,发现 1 个不明物体 活动

自网络问世以来,就在不断地通过各种方式改善人们的生活。如今步入“互联网+”时代,互联网的创新成果高度融合在了经济社会的各个领域之中,人们越来越多的日常行为得以通过网络实现。云计算、大数据、物联网、人工智能等等为代表的新一代信息技术与传统产业的融合创新,更是加速了数字化社会的转型革新。不断提升的创新力和生产力,也形成了更广泛的发展生态。

然而,安全问题并没有随着技术的发展而消失,反而在科技飞跃的时代迎来了爆发,漏洞、恶意软件、社会工程学等网络行为层出不穷。随着数字化转型的不断深入,各大传统领域正在以前所未有的速度被“织”进这张大网,网络安全的边界不断扩大。

“没有绝对安全的系统”这句话在安全行业已是众人皆知,作为从互联网诞生之日起就常伴其身的漏洞,随着科技多样化也同样变得难以防范,如今的网络在漏洞面前更加不堪一击。当网络和现实彼此融合的时候,网络安全问题影响的范围和深度也不可同日而语。

因此,面对日益复杂的网络态势,屡禁不止的漏洞威胁,这样一种机遇和挑战并存的时代,各位处于互联网安全顶端的大佬们又会有怎样的应对手段?

从Bugbounty看应用安全攻防

对于一家互联网企业而言,网络安全问题至关重要,但趋于某些条件的限制,很多企业并没有在安全方面有适当的投入,因此漏洞威胁并没有得到缓解。漏洞赏金计划如今已经成为了很多互联网公司的重要安全策略之一,在国内外都承担了相当关键的职能,并且上线一段时间以来表现也是相当的优越。不仅为企业大大减轻了运营成本,同时相较于企业自主聘请安全人员,也具有更高的效率和灵活性。

近两年,越来越多的组织、公司加入到了漏洞奖励计划,因此“Bugbounty”也逐渐变成了一项“全民运动”。

微信图片_20181128225931.jpg

斗象科技CTO张天琪通过近年来亲身参与国外厂商漏洞挖掘经历,为大家分享当前互联网应用技术发展趋势及安全攻防趋势。随着当前互联网业务需求复杂度的提升,大量新型技术组件被引入应用构建之中,如新型数据库、缓存、消息队列、大数据组件、容器组件等等,从而大大增加了应用自身的攻击面。同时伴随大量业务向云上迁移,云服务提供的功能特性愈加丰富,使得当前构建应用安全体系往往需要兼顾WEB安全,移动安全,PC端安全等多种安全方向,增加了应用安全体系建设的难度。

本议题将通过大量真实案例,分享各类大型厂商在当前新技术环境下所暴露出的应用安全风险以及对应缓解措施。

张天琪是斗象科技联合创始人兼首席技术官,应用安全专家,国内首家互联网安全新媒体“FreeBuf”创办人之一,国内领先的互联网安全服务平台“漏洞盒子”,全息安全风险监控与分析系统“网藤风险感知”技术总负责人。Qcon、GSMA、ISC、OWASP等行业峰会演讲者,多次上榜Google,Microsoft,Yahoo,Paypal等国外厂商安全名人堂,360 Hackpwn大赛评委。

基于网络空间搜索引擎的通用漏洞挖掘

自互联网诞生时起,网络空间就犹如混沌初开一般急速扩张,随着多年来的发展,互联网现今已从点对点链接这种虚拟状态上延伸和扩张到了物与物相连,将网络信息交换和人机交互带入了现实世界中,形成了万物互联的物联网。网络空间引擎能够将互联网上公开的网络资产和设备信息进行收集和整理,通过网络空间搜索引擎,我们可以快速的知道,我们身边有多少计算机,多少服务器,有多少联网设备。如果说GPS绘制了世界的地图,那么网络空间搜索引擎就是整个互联网世界的地图。

网络空间搜索引擎跟网络安全漏洞息息相关,常用来对已知组建的nday漏洞影响面进行测绘评估。本议题就将介绍通过利用网络空间搜索引擎ZoomEye对未知通用组件识别并进行0day漏洞挖掘一些方法探索。

微信图片_20181128225940.jpg

黑哥(superhei),全名周景平,知道创宇首席安全官兼404实验室总监,多次带领团队协助修复了微软安全分级最高级别漏洞,也因于此,在2015年世界黑帽大会 BlackHat 上入选了微软“历史Top100贡献榜单”,次年再次入选年度MSRC 2016 Top100榜单。黑哥因在 Web 安全领域做出了杰出的贡献被称为“ 中国黑客传说”, 同时利用自身的影响力, 带动了一批年轻人一起做出了一些意义不凡的成绩。

K哥谈:白帽子转型养成之路

在多数人的认知中,“黑客”就是无恶不作的。孰不知,在黑客世界中,也同时存在着“黑”、“白”两道。他们做着相同的事情:通过自身卓越的技术,不断在网络中搜寻计算机、服务器与网络系统中的安全漏洞。其中,正义的一方,也就是我们所说的“白帽子”了。随着互联网技术的快速发展,数字化时代革新的加速,网络安全逐渐成为了国家乃至世界的主旋律,白帽子的队伍也不断的发展壮大。

黑客的外表下,隐藏着一颗正义的心。现今世界,网络安全隐患无处不在,各色漏洞不断爆发,当然,有攻就有防,面对黑客的步步紧逼、网络世界的重重威胁,正是无数的白帽子组成了网络世界的第一道屏障。

微信图片_20181128225936.jpg

作为资深“白帽”,有的人说K哥的成长很传奇,有的人说很励志,有的人说很普通。因此,无论怎么样,通过本次议题,K哥将从白帽子过去的成长轨迹、目前心理与状态、未来发展与规划,这3个主要方向进行议题分享。

有的人放弃了安全,有的人始终追着安全领域的脚步,有的人从入门到入狱了,也有的人放弃了但是用了其他方式来实现自己的安全梦,从未成年到成年白帽的一些事儿,你会在这里听到很多耳熟能详的”梗”,结合昨天,今天,明天的方式思维进行交流,如:生活、工作、学习…等多角度分析,并且讲解过程中会剖析出更多的思考点和解决办法,最后在转型思考与建议的方向里给予一定程度的参考讲解。

K哥,孔韬循(K0r4dij-小K),丁牛科技现任CSO,著名信息安全团队破晓团队(Pox Team)创始人,半路高中辍学野路子出身,至今领域接触时间已逾10年,中途曾多年公益性质帮助过无数白帽子走上网络信息安全行业相关岗位,并正确的方式引导和协助白帽子群体制定自己专属的人生成长轨迹。从业多年安全并拥有多年国家级党政军信息安全项目服务经验,如:国家部委机关单位等。擅长渗透测试、Web漏洞挖掘、应急响应等信息安全技能,期间曾参与过世界一带一路-信息安全相关项目实施。作为安全从业者,始终相信:没有高手和菜鸟,只有玩的多和少!

FIT 2019互联网安全创新大会

FreeBuf互联网安全创新大会(FIT)是由国内领先的互联网安全新媒体平台FreeBuf.COM主办的年度互联网安全盛会,WitAwards互联网安全颁奖盛典也将同期举行。 

FIT 2019大会会期为2018年12月12日~13日,会议将在上海宝华万豪酒店举行。本次大会主论坛议程聚焦「全球高峰会」、「前沿安全神盾局」、「WitAwards颁奖盛典」、「WIT安全创新者联盟」「X-TECH技术派对」、「HACK DEMO」六大板块,独立分设「白帽LIVE」及 「企业安全俱乐部」两大分论坛,与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽安全专家、研究机构等共同展开演讲与探讨。同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也将在特色分会场同期举行。此次盛会致力于分享2018年度安全行业创新硕果,共同探索与展望未来安全新边界。

>>>【FIT 2019官网】

画板 1.png

发表评论

已有 1 条评论

取消
Loading...
css.php