重播:首届乌云峰会现场纪实

第二届乌云峰会报道请看:《乌云来袭(上)》《乌云来袭(下)

距离首届乌云峰会已经过去三天了,小编有幸去到了现场围观,并在会后总结了本次峰会针对各个议题的总结及个人见解,分享出来希望大家喜欢。

刚到会场,门口的海报就萌了小编一脸。

图片1

 

图片2

 

 

 

本次乌云峰会在北京的中关村皇冠假日酒店举行,现场一看就是高大上的格调。

图片3

现场爆满,想必其中有很多大黑阔,小编可是没敢连入任何wifi喔[/偷笑]。

 

图片5

图片6

首先我们一起先浏览下本次峰会的大概流程。后面的宣讲人一栏里,可都是小编一直很敬佩的大牛喔~

图片7

首先是乌云负责人疯狗大牛的开场,讲述2014年十大最新安全风险解析。

图片8

接着进入第一个议题:Livers的《智能家居光环下的玄机》

图片9

议题内容:Livers大牛介绍了一系列的的家居安全协议,囊括了门铃安全、家用路由器(比如逆向极路由、小度路由的固件),通过解密固件发展安全问题,研究到智能家居的门铃安全——通过sniffer到门铃的信号进行重放,成本非常低只需要几十块所以可以大部分的布置。议题同时还有对通信协议的安全、不同的协议频段,蓝牙协议的部分问题进行研究。当然还有灰常赞的视频演示喔!

接下来,第二个议题是由生物研究者gainover大牛带来的。二哥计算机真心猛,现场一见,小编发现,二哥本人也是非常萌的。二哥带来的议题是《从一个被忽视的漏洞到XSS僵尸网络》。

图片10 图片11 图片12 图片13

议题内容:这个议题简介了各类型的xss安全,同时还现场演示四个视频,包括某东的一个未公开xss案例。演讲后小编也冒了一身汗——利用水坑攻击搭配flash的存储在本地的技巧,能长期控制到大量的用户。小编真心觉得漏洞的价值不在于它的技术深度难度,更在于它被利用后能创造的价值。

第三个议题是来自360的80sec的茄子牛(我绝对不会告诉你们他是我的偶像之一[/捂脸])。茄子牛带来的议题是《细数安卓WebView的那些神洞》。大牛演示用到的演讲稿也是酷炫,是动态htm来的喔。议题内容是uxss在安卓上的危害。视频演示告诉我们各种版本的安卓手机都可能受到uxss链接影响,影响范围包括腾讯以及新浪微博,同时还介绍了传说中的安卓内置的webview app的远程执行漏洞,瞬间吓坏小编。准确来说是4.4.4以下的用javascript操作安卓应用层代码执行,直接打电话发短信执行shell。最后一个demo是在小米三 ,打开一个内置浏览器,直接就反弹了一个shell!大牛真是酷炫得没话说。

图片14

在现场小编是很勤奋地记了很多知识,现场黑阔那么多,小编果断选择了关闭手机,用手写~23333

图片15

现场大牛们各种在会议中刷屏,看得小编也是个醉。

图片16 图片17

午餐时,小编在会场到处溜达的时候,看到很多帅气的大牛,敬佩之心哗哗的。

图片18

这是余弦牛吗?

图片19

 

这哥们长得好文质彬彬呀,不像黑客的样纸,哈哈。

图片20 图片21

00后小黑阔,安全圈的未来啊。

图片22

午餐过后,会议继续进行。第四个议题是传说中帅气的猪猪侠带来的—《自动化攻击背景下的过去、现在与未来》。他讲述了安全从业的一些经验,并给大家分享了他正在开发的一款全自动扫描工具的架构与功能设计。值得一提的是,他最后反复强调。扫描的成功率是建立在大数据挖掘上的,拥有足够的数据来统计和深度利用从而研究出规律,将极大地提升扫出漏洞的效率。

图片25

接下来是百度安全架构师王宇带来的《安全事件处理二三事》,主讲了应急响应相关处理,提供了一些有意思的tips,还举例了说一些有意思的实际的案例,最后提出好几个思路和推荐书目,小编只想说老前辈果然很厉害[/赞]。

接着还有过于实诚,似乎想把所有干货吐完的LBE安全大师CEO张勇,他带来的是《移动端软件加固技术浅析》。他介绍了安卓dex加密、classes.dex字节码变形、混合方案,以及拓展的动态库等,还讲了调试反注入的方法以及相对应的例子。大师也是蛮拼的,这里小编要说感谢大师分享。

当然还少不了极路由的副总裁康晓宁带来的《智能路由在家庭网络中的安全考量》,以及快钱包CEO张健和梆梆安全CTO陈彪带来的议题,由于时间有限,两位也是长话短说,个人认为陈彪大牛带来的议题内容其实很多细节跟lLBE大神有交叉重叠喔。

此次峰会小编真真是涨了不少知识,希望此次分享也能让你有所收获。

峰会PPT:

链接: http://pan.baidu.com/s/1eQIhFkI 密码: oi1r (目前只有gainover与茄子同学发出了自己的PPT)

 

AD:91Ri目前将向媒体圈进军,有需要报道的峰会及安全论坛欢迎联系我们