成都,素有“蓉城”之称,自古就有“天府之国”的美誉,是西南地区科技和金融的中心,作为2015年国务院确定的重要的高新技术产业基地,聚集了很多知名的IT企业与安全公司,同时大量IT精英及安全人才也驻扎在此。2016JSRC乌托邦沙龙走进成都,邀请到了业内知名的安全专家和资深工程师为当地的白帽儿客们带去了精彩的演讲,同时也有幸请到了重庆网安的领导,猪八戒的SRC负责人及知道创宇安全部门负责人前来支持,业内白帽儿70余人早早便来到现场,静候各位讲师的到来!

2016 JSRC 安全乌托邦-成都站(附PPT)-安全盒子

2016 JSRC 安全乌托邦-成都站(附PPT)-安全盒子

伴随着热烈的欢迎掌声,第一位讲师,来自猪八戒网的H3arts开启了此次演讲的序幕,他带来的主题是《浅谈Android自动化审计》。首先H3arts从背景讲起,由于APP的应用随着移动端的广泛应用而成数量的增长,开发自动化的检测系统就变得尤为必要。从工具的选型,MobSF,Androguard和OARK的优劣开始谈起,非常明显地MobSF具有基础功能完善,可扩展性强和便于二次开发的优点,Androguard扩展模块化的分析,而OARK在使用多种反编译并合并分析结果方面有较强的优势,然而在检测结果并不是很理想。基于JAVA的自动化审计和基于Smali的自动化审计的相对准确率也作了较为详细的对比。H3arts也着重地对静态污点和动态进行了分析。最后,H3arts也提出了自己的想法,目前静态分析系统应该有过程间分析的概念(ICFG),以此来提高准确性和降低误报率;部分漏洞和风险检测需要采用动态分析,以弥补静态分析的不足……非常接地气儿和可操作性强的技术得到了现场白帽儿们一致的认可和肯定。

2016 JSRC 安全乌托邦-成都站(附PPT)-安全盒子

感谢了第一位讲师的精彩分享后,迎来了另外一位来自MS509 Team的核心成员Thor,他带来的主题是《One Class to Rule Them All Android反序列化漏洞分析》,反序列化漏洞广泛存在于php、python、java、ruby等编程语言中,影响一大波web系统。Android系统近年也爆出几个高危反序列化漏洞,包括CVE-2014-7911、CVE-2015-3825,影响了包括Android 4.4 到 Android 5.1大部分系统,能够让恶意app提权至仅次于root的system权限,影响甚广。本次议题主要根据两个CVE漏洞实例,深入分析Android系统反序列化漏洞成因以及漏洞利用细节。

2016 JSRC 安全乌托邦-成都站(附PPT)-安全盒子

聆听了2位讲师的高质量演讲后,现在的小伙伴们进入了茶歇,伴随着悠扬的音乐声,大家互相认识,互相讨论,互相学习,对于JSRC为大家提供的这次机会,分外难得。                   短暂休息与交流之后,第三位讲师压轴出场,来自知道创宇的邓金城老师,他带来的主题是《大浪淘沙-海量web日志异常挖掘》,金城老师从概念开始讲起:什么是海量web日志异常挖掘?海量web日志的目标是通过数学分析,关联分析和机器学习等挖掘方法,挖掘有安全价值的异常信息,例如恶意黑页,Webshell,逻辑漏洞,0day攻击,WAF缺陷,业务安全等等。而常见的异常类型有哪些?单点异常,上下文异常和集体异常。通过对于异常类型的理解与分析,找到对应的六种异常挖掘方法:基于经验特征挖掘,基于外部数据关联挖掘,基于内部数据关联挖掘,基于数据统计挖掘,基于WAF规则的异常挖掘和基于网站画像的异常挖掘。2016年1月-2016年9月,我们从正常日志中发现了大量的异常,分析和报告了近千个安全事件,为用户补齐网站安全的短板,完善网站安全机制提供关键数据。这就是我们的工作!

2016 JSRC 安全乌托邦-成都站(附PPT)-安全盒子

结束了所有讲师的演讲,现场的小伙伴们虽意犹未尽,但沙龙已经接近尾声。感谢所有到场的小伙伴们,感谢每一位分享的讲师,感谢猪八戒网的支持。2016还有2个月即将过去,JSRC安全乌托邦的下一站将在2017年全新开启,新的征程即将到来,我们希望更多的白帽客们加入并且提出自己宝贵的建议~

2016 JSRC 安全乌托邦-成都站(附PPT)-安全盒子

ppt链接

密码: 83q5