聆听国际安全大咖高屋建瓴的前瞻分享？围观TSec八大议题全球首发？还有安全在各行各业最新最靓的实践案例？借问酒家何处有，老夫怒指CSS 2019！

7月30日-31日，北京国际饭店，第五届互联网安全领袖峰会（Cyber Security Summit，简称CSS）。面基亚马逊CTO Werner Vogels，你敢来吗？ 

第五届互联网安全领袖峰会（CSS 2019）的主题论坛之一——腾讯安全探索论坛（TSec）早前广发“英雄帖”，招募全球安全专家分享议题、同场论道。经过半个月的紧张评审，TSec评审委员会最终评选出八大优秀议题，将在TSec舞台首度亮相。同时，我们也争取到了独家福利，文章下方留言前30位同学，将免费获得CSS大会+TSec论坛两天（7月30-31日，北京国际饭店）通票一张！

猜你喜欢

如何批量发现 macOS/iOS 内核信息泄漏漏洞？如何流敏感的模糊测试系统？一个小时内分析二百万行代码，自动化分析疑难漏洞？PPC是如何通过系统虚拟地址偷天换日，把你引入错误的未知页面？听听这些迷人的议题！

议题一：对基于Git的版本控制服务的通用攻击面的探索

演讲嘉宾：黎荣熙

嘉宾介绍：任职于北京长亭科技有限公司，曾在GitLab和GitHub Enterprise等产品中发现多个严重漏洞，对自动化源代码审计等细分领域具有浓厚兴趣。

议题亮点：随着Git在一众版本控制软件中的脱颖而出，基于Git实现的在线合作式版本控制服务也逐渐被广大公司所接受。作为公司核心代码的保险箱，该类应用又存在哪些危及信息资产安全的漏洞呢？本次演讲，黎荣熙将从利用静态分析进行代码审计出发，介绍这项技术并结合Git的一些不为人知的特性，讲述发现GitLab的多个漏洞经历。

议题二：流敏感的模糊测试系统

演讲嘉宾：甘水滔&张超

嘉宾介绍：

甘水滔博士：数学工程与先进计算国家重点实验室助理研究员，网络工程组主管，长期专注于应用和系统软件自动化分析技术研究，多次获得省部级科技成果奖，擅长程序分析方法和软件脆弱性分析技术，构建的自动化挖掘方案高效应用于主流应用和系统程序分析，其中获得CVE编号百余条，部分学术成果发表于四大安全顶会IEEE S&P、Usenix Security上。

张超：清华大学副教授（博导），蓝莲花战队教练，入选青年千人、MIT TR35 China、求是杰出青年学者、青年人才托举工程等。先后获得微软BlueHat竞赛特别提名奖，自动化攻防系统获得DARPA CGC机器自动化攻防竞赛初赛防御第一、决赛攻击第二名等众多奖项。

议题亮点：模糊测试是当前最流行的漏洞挖掘方案，但实际上仍有许多优化改进空间。本次演讲中，两位演讲者将探讨模糊测试方案中存在的控制流信息不精确、控制流不敏感、数据流不敏感问题，并分别介绍其解决方案。

议题三：Sorry, It is Not Your Page

演讲嘉宾：张云海

嘉宾介绍：任职于绿盟科技，绿盟科技天机实验室负责人，深耕信息安全行业15年。先后在 Black Hat、Blue Hat、DEF CON、CSS、XCon、POC 等安全会议上进行过主题演讲，自2014年起连续5年获得微软 Mitigation Bypass Bounty 奖励。

议题亮点：Windows操作系统使用分页机制来管理内存，每个进程有自己的虚拟地址空间与页表，虚拟地址通过页表转换成物理地址进行访问。张云海发现了一个特殊的访问模式，可以让系统使用错误的页表来进行地址转换，从而读写到预期之外的物理页面，进而导致内存破坏漏洞。这是一种新的漏洞类型，被称之为物理页面混淆（PPC，Physical Page Confusion）。本议题将以一个实际的漏洞为例，来介绍物理页面混淆漏洞的技术原理、攻击模型、利用方法，同时也会给出一些防御和避免此类漏洞的建议。

议题四：打破常“规”：挖掘语法解析器规则漏洞

演讲嘉宾：钱文祥&李宇翔

嘉宾介绍：

钱文祥：Tencent Blade Team高级安全研究员，《白帽子讲浏览器安全》作者，研究方向包括IoT设备、Web浏览器等的安全审计和漏洞挖掘。曾先后发现Amazon Echo智能音箱的多个导致音箱被破解的漏洞并发表于Defcon 26。

李宇翔：Tencent Blade Team 高级安全研究员，前福州大学ROIS CTF战队成员。曾在HITB AMS 2018、XCON 2018发表过议题演讲，曾发现多个IoT设备漏洞和Android漏洞并获谷歌、亚马逊、华为、小米等致谢，主要研究方向为IoT安全和移动安全。

议题亮点：随着智能设备和移动设备的爆发，攻击互联网基础设施的案例层出不穷。实际上，目前网络安全研究者更加关注SQLite、Chrome、PHP等软件的代码以及所使用的第三方库，却往往忽视一个共有的攻击面——语法、文法解析器。钱文祥、李宇翔对当下一些常见的软件进行分析时发现，那些晦涩难懂、大家又把它们当作理所当然的语法解析规则中也会存在许多安全问题。除此之外，两位嘉宾还会围绕 Lex & YACC(Flex & Bison)规则的安全研究，包括开发过程中的漏洞到底如何产生、开发人员如何审计 Lex & YACC(Flex & Bison)规则、如何发现和利用漏洞，以及是否具有通用的审计思路等分享一组新的研究思路，可以让研究人员能够高效快速地发现规则中的漏洞。

迷人的议题还有很多

议题五：如何批量发现 macOS/iOS 内核信息泄露漏洞

议题六：Comprehensive analysis of the mysql client attack chain

议题七：工业可编程控制器安全缺陷分析

议题八：文心雕“虫”——利用自然语言理解技术发现内存破坏漏洞

光看议题名称，就已按捺不住自己好奇的小心思？不如来腾讯安全探索论坛TSec 2019现场一窥究竟！

更多精彩

当然，作为全球规模最大、价值最高的互联网产业安全交流与合作盛会，CSS 2019的精彩远不止如此。

亮点一：安全大咖携前沿议题亮相，峰会大咖交锋 

每届CSS重磅嘉宾的亮相都赚足眼球。CSS 2019邀请到亚马逊首席技术官Werner Vogels、中国工程院院士邬贺铨、腾讯云与智慧产业事业群总裁汤道生等大咖，分享行业前沿议题，带来产业互联网下安全行业最前沿的思考与解读。相信此次大咖们的观点交锋将让人大饱眼福。

亮点二：行业领袖与新锐力量齐聚，共话安全生态 

自创办以来，CSS一直以实际行动承担起安全新生态首倡者和共建者的角色。CSS 2019大会，将汇聚中国安全行业上市公司，在P17安全领袖圆桌共商产业互联网安全生态，并联合发布首份产业互联网安全报告。同时，聚合中国安全行业新锐力量企业，在FP50分论坛共享标杆案例经验，启迪安全行业创新成长。

亮点三：众多领域的最佳实践呈现，行业干货满满 

此次大会从主论坛到分论坛涵盖了金融安全、云安全、智能安全、大交通安全等不同领域，探讨不同细分场景下的安全解决方案，分享最佳实践，并将产出CSS视角下的《全球网络安全十大议题》、《2019上半年金融安全报告》、《 腾讯产业与安全标准化白皮书》《2019互联网安全解决方案白皮书》等重磅干货，为行业发展提供助力。 

福利时间

小编为粉丝们争取到了独家福利，文章下方留言前30位同学，将免费获得CSS大会主论坛（30日）+任意两个分论坛（31日）通票一张！活动结束后获奖的同学会逐一收到客服小姐姐的私信。

附上大会议程：

如果你崇尚黑客文化或者热爱信息技术，来到CSS现场绝对会为你带来一场头脑盛宴，更有神秘大奖等着你！还在等什么？赶紧留言领取30张门票，开启你的CSS之旅吧！