2018年7月21日，擁有18年悠久歷史的老牌安全技術社區(qū)——看雪學院聯(lián)手國內最大開發(fā)者社區(qū)CSDN，傾力打造一場技術干貨的饕餮盛宴——2018 安全開發(fā)者峰會，將在國家會議中心隆重舉行。會議面向開發(fā)者、安全人員及高端技術從業(yè)人員，是國內開發(fā)者與安全人才的年度盛事。

峰會將聚焦開發(fā)與安全，“萬物互聯(lián)，安全開發(fā)”，旨在以“防”為基準，安全開發(fā)為主旨，引導廣大企業(yè)和開發(fā)者關注移動、智能設備、物聯(lián)網(wǎng)等領域的安全，提高開發(fā)和安全技巧，創(chuàng)造出更安全的產(chǎn)品。

此外峰會將展現(xiàn)當前最新、最前沿技術成果，匯聚年度最強實踐案例，為中國軟件開發(fā)者們呈獻了一份年度技術實戰(zhàn)解析全景圖。

秉承著技術與干貨的原則，看雪學院精心篩選的議題涵蓋了安全編程、軟件安全測試、智能設備安全、物聯(lián)網(wǎng)安全、漏洞挖掘、移動安全、WEB安全、密碼學、逆向技術、加密與解密等，吸引了業(yè)內頂尖的開發(fā)者和技術專家，旨在推動軟件開發(fā)安全的深入交流與分享，為安全人員、軟件開發(fā)者、廣大互聯(lián)網(wǎng)人士及行業(yè)相關人士提供最具價值的交流平臺。

本次峰會受到了梆梆安全、娜迦、阿里安全、騰訊安全、百度安全、Wifi萬能鑰匙、京東安全、360公司、幾維安全、愛加密、金山毒霸（獵豹旗下品牌）、騰訊TSRC、科銳培訓、同盾科技、15派培訓等等數(shù)十家公司的大力支持和贊助。 

會議日程

重磅議題，驚喜一“夏”

1、端到端通信中危險的中間盒子：祝福還是詛咒？

議題簡介：

將結合團隊近年的研究成果，介紹Web通信中的各種中間盒子存在的安全問題，包括注入廣告或惡意內容、泄露用戶隱私、緩存污染、大規(guī)模拒絕服務攻擊等。

演講嘉賓：段海新

段海新，清華大學網(wǎng)絡研究院教授，清華大學（網(wǎng)絡研究院）-360企業(yè)安全聯(lián)合研究中心主任。在網(wǎng)絡安全領域有20多年的教學、科研和管理經(jīng)驗，多項研究成果發(fā)表在國際競爭最為激烈四大安全頂級學術會議上，曾獲獲國際頂級安全會議NDSS杰出論文獎、中央網(wǎng)信辦首屆“網(wǎng)絡安全優(yōu)秀人才”獎。世界知名攻防戰(zhàn)隊“藍蓮花”、網(wǎng)絡安全研究國際學術論壇（InForSec）的聯(lián)合創(chuàng)始人。

2、自動逆向機器人

議題簡介：

分析軟件、破解文件和協(xié)議、漏洞分析和利用，都需掌握逆向技能。 你想不想有一個機器人，能夠：

1. 文件和協(xié)議格式的自動化逆向，把相關軟件運行一遍就能分析的清清楚楚；

2. 再也不怕“不穩(wěn)定重現(xiàn)的漏洞分析”，而且修改的每個字節(jié)，后序流程都一覽無遺；

3. 發(fā)現(xiàn)wannacry在系統(tǒng)中殘留的密鑰（獨家）；

4. 無論多復雜的虛擬機殼，都能輕易找到算法的密鑰。

本議題會和大家分析我們在自動化逆向能力上的部分進展。

演講嘉賓：弗為

弗為，阿里巴巴安全部·獵戶座攻防實驗室成員，主要關注二進制程序分析與漏洞挖掘、軟件供應鏈安全。在結合工業(yè)界傳統(tǒng)人工分析經(jīng)驗，以及學術界方法論成果上，進行多種嘗試和工具規(guī)模化、自動化研究。

3、智能設備漏洞挖掘中幾個突破點

議題簡介：

本議題主要針對智能設備固件提取的攻防手段進行了整理和總結。

先對嵌入式系統(tǒng)的軟硬件的基礎架構做了介紹，然后會詳細講智能設備提取固件的十大方法，涉及到的軟件和硬件工具，工具的作用和用法。本議題對智能設備安全研究人員提取固件的常用方法進行梳理, 也對開發(fā)者提出了一些安全方面的建議, 避免廠家辛苦開發(fā)出的產(chǎn)品、想要保護的固件沒有保護好，被輕易提取出固件分析。無論是開發(fā)者還是安全愛好者都值得一看。

演講嘉賓：馬良

目前就職于綠盟科技，研究領域為物聯(lián)網(wǎng)和工控安全，擅長領域 : 嵌入式系統(tǒng)。在進入安全行業(yè)前，曾有十年豐富的嵌入式軟件開發(fā)經(jīng)歷：4年物聯(lián)網(wǎng)產(chǎn)品開發(fā)經(jīng)驗；3年LTE開發(fā)經(jīng)驗；3年工控系統(tǒng)開發(fā)經(jīng)驗。

4、iOS App 安全審計與案例分享

議題介紹：

本議題將會分享盤古實驗室在針對iOS平臺的App審計的工作過程中應用的技術手法和發(fā)現(xiàn)的常見問題。同時結合真實案例詳細介紹在App審計過程中發(fā)現(xiàn)并利用ZipperDown的技術細節(jié)，包括ZipperDown對微博、qq音樂、陌陌等用戶數(shù)量達到千萬級別的APP的影響以及我們在構建ZipperDown完整攻擊鏈的過程中遇到的問題和解決思路。

演講嘉賓：黃濤

3年軟件開發(fā)經(jīng)驗，4年信息安全從業(yè)經(jīng)驗，擁有豐富的開發(fā)經(jīng)驗外，擅長MacOS/iOS漏洞挖掘、分析，逆向工程，iOS App安全審計。曾在看雪論壇及個人站點發(fā)表大量技術文章。在macOS/iOS的漏洞研究積累了大量的經(jīng)驗，目前在盤古實驗室從事macOS、iOS漏洞挖掘、分析與iOS App應用審計工作。

5、TCP的厄運，網(wǎng)絡協(xié)議側信道分析及利用

議題簡介：

介紹網(wǎng)絡側信道的前世今生，闡明網(wǎng)絡側信道作為一個小眾和新型的漏洞類型，所帶來的威脅和安全風險。此外，錢教授還將剖析TCP側信道的漏洞成因和利用方法。

值得一提的是，該議題內容是國際頂級安全學術會議作品，這兩項攻擊的內容分別影響了Linux操作系統(tǒng)和無線802.11協(xié)議標準，受到業(yè)界的強烈關注。在此次議題中，將首次揭秘GeekPwn 2017硅谷站TCP側信道的漏洞及利用方法。此議題內容深入淺出，適合不同背景的受眾。

演講嘉賓：錢志云

錢志云，加州大學河濱分校 (University of California, Riverside)副教授。研究興趣在于網(wǎng)絡、操作系統(tǒng)，以及軟件安全，其中涉及到TCP/IP協(xié)議的設計與實現(xiàn)，安卓操作系統(tǒng)的漏洞挖掘和分析，以及側信道在網(wǎng)絡系統(tǒng)領域中的安全性研究。曾獲得GeekPwn 2016最大腦洞獎和GeekPwn 2017優(yōu)勝獎。

6、被“幽靈”所困擾的瀏覽器

議題簡介：

在這個演講中，我們將分享如何在瀏覽器中利用"Spectre"漏洞，以及如何通過Javascript觸發(fā)"Spectre"漏洞并且生成可以穩(wěn)定刷新緩存的匯編指令。

盡管 "Spectre" 漏洞影響了大量的用戶，但它能否在實際的攻擊中產(chǎn)生危害呢？我們會展示在瀏覽器中，通過"Spectre" 漏洞可能造成的實際危害，并討論相關的緩解措施。

演講嘉賓：宋凱

宋凱(@exp-sky) 是騰訊安全玄武實驗室的高級安全研究員。對于軟件漏洞挖掘與利用有著豐富的研究經(jīng)驗，主要關注瀏覽器及操作系統(tǒng)相關的安全研究。在Fuzzing與其它漏洞挖掘技術上也有著豐富的經(jīng)驗。曾代表騰訊安全玄武實驗室贏得 Pwn2Own 2017 Edge 瀏覽器項目。曾連續(xù)三年入選微軟 MSRC 全球 Top 100 貢獻者榜單，最高排名第12位。贏得2016年微軟 Mitigation Bypass Bounty 項目。分別贏得2015年和2016年 Edge Bounty 項目。曾在AsiaSecWest、HITCON、中國互聯(lián)網(wǎng)安全大會、XKungFoo等安全會議發(fā)表演講。

7、NLP機器學習模型安全性及實踐

議題簡介：

現(xiàn)在AI在各行各業(yè)的應用越來越多，但是對于AI模型的安全性研究相對落后。雖然國內外一些安全專家已經(jīng)有了部分的研究成果，但是現(xiàn)階段，從業(yè)務安全的角度，還沒有很多的研究資料。本演講從AI在自然語言處理領域NLP的實際應用出發(fā)，通過實例介紹AI問答機器人產(chǎn)品的業(yè)務安全問題，試圖打破AI和業(yè)務安全之間的壁壘，推進AI在行業(yè)中的落地應用。

演講嘉賓：吳鶴意

吳鶴意，網(wǎng)絡安全愛好者，擁有大型政企單位安全應急與運維經(jīng)驗，多次參與中央部委安全事件解析工作，研究領域現(xiàn)集中于AI+SDN。

8、潛伏在PHP Manual背后的特性及漏洞

議題簡介：

在安全開發(fā)或者代碼審計過程中，很多人認為官方手冊的說明方法應該都是沒有任何問題的，所以就直接拿過來使用或者跳過審計，然而這些標準的函數(shù)方法中也存在各種各樣的安全風險，在某些場景下這些正常的非危險函數(shù)方法將被黑客惡意利用從而導致安全漏洞。

本議題將介紹大量潛伏于PHP Manual中的存在潛在安全風險的非危險函數(shù)方法，以及這些函數(shù)方法的非常有意思的Tricks。

對于開發(fā)者而言，這些看似正常但是存在潛在威脅的函數(shù)方法經(jīng)常會出現(xiàn)項目代碼中；對于安全人員而言，這些函數(shù)方法的Tricks經(jīng)常被應用在代碼審計、CTF挑戰(zhàn)、漏洞利用Bypass當中。

演講嘉賓：鄧永凱  

鄧永凱(ID：xfkxfk)，綠盟科技工業(yè)物聯(lián)網(wǎng)安全實驗室研究員，從事安全產(chǎn)品開發(fā)、漏洞挖掘研究、安全應急響應等工作7年，目前從事工業(yè)物聯(lián)網(wǎng)安全研究。

知名安全電子期刊《安全參考》、《書安》創(chuàng)始人兼負責人，逢魔安全實驗室創(chuàng)始人。

曾在SSC2017安全大會，看雪2017安全峰會發(fā)表相關議題演講。

擅長Web安全，物聯(lián)網(wǎng)安全，代碼審計，漏洞挖掘，安全開發(fā)等，在國內多個漏洞提交平臺及SRC為互聯(lián)網(wǎng)廠商、通用應用程序廠商、IoT及安防設備廠商提交大量漏洞并獲官方致謝。

9、硬件錢包安全分析

議題介紹：

隨著區(qū)塊鏈技術的興起，國內國外出現(xiàn)很多硬件錢包廠家。由于大多廠家對安全理解不到位，出現(xiàn)很多設計架構問題。很多比特幣硬件錢包基于手機平臺開發(fā)（mtk），存在很多不安全性和脆弱性。

本次峰會上將展示如何暴力破解兩個世界知名硬件錢包，并利用該平臺USB接口的漏洞，對固件修改，對手機錢包App修改，從而打開WiFi藍牙接口，進而完全控制錢包的私鑰。

演講嘉賓：胡銘德

從事信息安全20余年，硬件、編程愛好者。曾在XPwn 2016 發(fā)表Sony 筆記本電腦后門口令破解演講。

現(xiàn)擔任北京知道創(chuàng)宇先進技術部總監(jiān)、工業(yè)控制系統(tǒng)信息安全國家安全技術國家工程實驗室分部主任。

兩大圓桌會議，思想火花的碰撞！

看雪誠邀業(yè)內大咖，親臨現(xiàn)場，各種獨到、前沿的思想在現(xiàn)場碰撞，并為觀眾朋友們答疑解惑。

上午：11:30

圓桌會議（IoT 安全）

主持人：王琦

參與嘉賓：譚曉生、陳彪、黃眉、陳洋

下午：17:30

主題：區(qū)塊鏈接安全

主持人：于旸（TK）

參與嘉賓：萬濤（老鷹）、Tony Lee、馬杰、劍心、閻文斌（玩命）

三大安全訓練營，充電不停

看雪誠邀業(yè)內大牛，為大家?guī)砣蟀踩嘤枴?/p>

WEB安全編程訓練營

硬件安全訓練營——《智能攝像頭漏洞挖掘實戰(zhàn)培訓》

Android安全訓練營

參與訓練營課程的學員，均可免費參加看雪安全開發(fā)者峰會哦！

硬件安全訓練營

課程題目：

《智能攝像頭漏洞挖掘實戰(zhàn)培訓》

課程簡介： 

隨著物聯(lián)網(wǎng)的發(fā)展，安防設備的使用也越來越多，特別是攝像頭的使用非常廣泛，隨之而來的攝像頭的安全問題也日益凸顯，且安全現(xiàn)狀不容樂觀。

在追求急速發(fā)展的同時，質量和安全問題卻沒有得到很好的保證，很多攝像頭都存在各種各樣的安全問題。

本課程主要從硬件方面的固件提取，固件解包，二進制逆向，系統(tǒng)后門，系統(tǒng)漏洞挖掘，常規(guī)web漏洞挖掘，web源代碼審計、web后門，云安全等方面對物聯(lián)網(wǎng)攝像頭（測試8款流行設備）中存在的安全問題進行全方位的分析進行詳細介紹。

在方法經(jīng)驗的講解同時，實際動手進行攝像頭的拆解，固件提取分析，漏洞挖掘，真正的從理論到實踐。 

培訓時間

2018年7月20日 9:00~18:00

注意：

1、本課程需由學員自帶筆記本電腦；

2、主辦方將為學員提供免費午餐一份；

3、課程所需硬件設備由主辦方提供。

課程目錄： 

1、智能設備固件獲取方法和實戰(zhàn)

2、固件解包常用方法和技巧

3、固件逆向分析常用工具和方法簡介

4、智能設備硬件中的漏洞挖掘方法

5、攝像頭識別方法和技巧

6、敏感信息收集

7、系統(tǒng)漏洞挖掘

8、協(xié)議相關漏洞挖掘

9、Web漏洞挖掘

10、云端業(yè)務漏洞挖掘

11、其他經(jīng)驗及技巧 

基礎知識準備： 

需要對計算機基礎知識及網(wǎng)絡基礎知識有一定的了解，最好熟悉web和系統(tǒng)常規(guī)漏洞原理，最主要的是對物聯(lián)網(wǎng)安全及漏洞挖掘感興趣。

WEB安全編程訓練營

課程簡介

13種漏洞主題參照OWASP top10，以及各大漏洞提交平臺及SRC最常出現(xiàn)的漏洞進行歸納總結。

每個主題按照漏洞原理、漏洞代碼分析、測試方法及工具、漏洞防范措施、如何開發(fā)出安全的代碼，五大詳細內容分類來進行深入講解。

整個課程包含了大量的實際項目案例，通過案例闡述在實際項目中的應用，讓開發(fā)人員深入理解和學習每種漏洞的原理、測試、預防措施，開發(fā)出安全的程序，在開發(fā)階段就杜絕產(chǎn)品的漏洞問題。

培訓時間

2018年7月20日 9:00~18:00

注意：

1、本課程需由學員自帶筆記本電腦；

2、主辦方將為學員提供免費午餐一份。

課程目錄

1、SQL注入漏洞

2、命令執(zhí)行

3、代碼注入

4、文件上傳漏洞

5、文件包含

6、跨站腳本攻擊（XSS）

7、跨站請求偽造（CSRF）

8、暴力破解

9、敏感信息泄漏

10、驗證碼繞過

11、越權

12、支付漏洞

13、密碼找回

Android安全編程訓練營

課程方向：安卓底層和內核高級分析

培訓時間：

2018年7月20日 9:00~18:00

注意：

1、本課程需由學員自帶筆記本電腦；

2、主辦方將贈送一部手機用于學習；

3、主辦方將為學員提供免費午餐一份；

4、課程所需硬件設備由主辦方提供。

課程目錄：

1、arm匯編與so文件格式

2、so多種native hook源碼分析與設計

3、so文件源碼解析加載裝載原理和修復

4、解包內核固件并分析內核二進制

5、內核調試方法

6、通過 crash log 定位內核異常

7、常見內核漏洞類型

8、內核緩解措施

9、緩解措施的繞過技巧

10、Root 提權中常用技巧

11、內核 heapspray 的多種方式

12、兩個 Root 提權的 CVE 實例講解

頒獎盛典，精英齊聚

頒獎盛典，是本次峰會的特別環(huán)節(jié)，看雪誠邀2018看雪.京東CTF攻防雙方獲獎選手蒞臨峰會現(xiàn)場，并為其頒發(fā)證書及大獎。

看雪CTF在原CrackMe攻防大賽中發(fā)展而來，比賽分為兩個階段，一個階段是防守篇，所有論壇會員都可參與，根據(jù)比賽要求制作題目，若所出的題目最晚被攻破，就勝出。第二階段攻擊篇，也是論壇會員都可參與，攻擊第一階段的題目，攻擊的題目越快和越多，就勝出。

看雪CTF是看雪社區(qū)自建立以來，一直延續(xù)的傳統(tǒng)活動。自2000年至今，看雪CTF 已經(jīng)歷了數(shù)十年的發(fā)展，匯聚了來自國內眾多的安全人才，高手對決，精彩異常。歷年來看雪CTF中人才輩出，CTF的題目也愈加豐富多彩，題目涵蓋二進制、Web、Pwn等眾多領域，突出了看雪論壇復合型人才多的優(yōu)勢，成為企業(yè)挑選人才的重要途徑。

購票指南

去年的峰會門票早早的就被搶購一空，現(xiàn)場更是座無虛席。

所以今年要買門票的小伙伴們要抓緊啦！

早購買，不僅能保證買到票，還能享受2.5折優(yōu)惠哦！

1、購票官網(wǎng)：https://www.bagevent.com/event/1134294

2、掃碼買票

購票二維碼

識別二維碼，立即購票哦！