乌云来袭(上)

2015年的wooyun峰会在7月17日在北京举办,小编很开心地来到现场为大家报道。不废话了,小编直接带大家进入议题吧。
第一位上台分享的大神是去哪儿网安全总监郭添森,他带来的议题是《去哪儿安全-从0到1》
议题内容:
介绍去哪儿网安全建设从无到有的整个过程。
1
第二位上台分享的大神是一位网警叔叔童瀛,他带来的议题是《从案件看国内DDos的最新方式》。
议题内容:
首先以网络犯罪的几个案例开始,比如利用微信红包赌博,黑产利用大量支付宝帐号的花呗功能获利。后面介绍了DDos产生的原因和趋势。2008年的时候,国内很多的私服发布站,各个发布站之间可能用DDos攻击对方。到后来很多灰色产业网站,如X药,棋牌,色情等站被D得比较多。后面又讲了一些奇葩的DDos攻击案例,小编印象最深的案例是一位CF游戏玩家为了保持连胜战绩,在感觉要输的时候就去D一下服务器。DDos对抗拼的是资源,技术手段难解决时,考虑用非技术手段解决,所以中小企业受到DDos威胁时,存好日志,报案吧。
IMG_0291IMG_0291
第三位大神是乌云白帽子GoSSIP_SJTU,他的议题是《Android应用程序通用自动脱壳方法研究》。
议题内容:
(表示这个议题技术性太强,小编消化不了,只能随便说说自己的感受了)
java程序容易被逆向,所以不加壳的app容易被反编译。加壳后的app人工反编译时是非常困难的。
(额,完)
IMG_0319IMG_0324
IMG_0330
第四位大神是万达电商安全主任工程师林鹏,他的议题是《解析P2P金融安全》
议题内容:
p2p金融说白了就是一个借钱平台,对于这个平台来讲,金融安全就等于互联网安全+金融安全。其中,根据自身漏洞统计来看,更多的风险在业务安全,sql注入这类安全比例倒是较小。金融站带宽叫小,DDos这种攻击也一般一打一个准。对于金融站来说,还有”羊毛党”和”黄牛党”的存在,对于这类用户的识别需要建立正常用户行为模型。
IMG_0335IMG_0336
IMG_0341
IMG_0344
第五位大神是乌云白帽子MayIKissYou,他的议题是《多角度对抗WAF的思路与实例》
议题内容:
绕过waf可以从大的两个方面来考虑。第一类是利用waf与web服务器解析方式不同,第二类是根据waf本身的特性。在第一类中,又可以细分为利用数据库特性,利用服务器特性来绕过。第二类中waf本身”特色”也可能被用来绕过。比如waf一般都有负载性能的限制,那么太大的数据包可能waf就直接放过不检测,否则太影响性能。还有waf白名单,waf对于并发请求的处理等问题。
IMG_0366
IMG_0372
吃完饭后,短暂休息后,进入下午场。
第六位大神是腾讯安全构架师张海清,他的议题是《Web安全架构浅谈》
议题内容:
介绍了自家自研扫描器的特性,还有自家waf。
IMG_0389IMG_0391
第七位大神是唯品会高级工程师王润辉,他的议题是《唯品会安全建设与风控杂谈》
议题内容:
介绍自家安全团队建设的小心得,介绍了自研的风控系统和工具。
IMG_0395
第八位大神是乌云白帽子boooooom,他的议题是《如何从外围进入各大公司内网》
议题内容:
公司内部的安全检测就像古代城池里巡逻的卫兵,有一定的检测周期性和盲区。所以利用这两点,攻击者可以比内部的检测人员更先找到一个漏洞点,从而进入内网。
IMG_0401IMG_0402 IMG_0403
第九位大神是乌云白帽子Piaca,他的议题是《【企业应急响应与反渗透】之真实案例分析》
议题内容:
介绍应急响应的本质。介绍反渗透的例子,并且举了几个具体的反击”攻击者”的案例。其中的一些故事追踪起来真是一波三折。
Piaca大牛曾经在新浪负责应急响应,用自身的真实经历和感受为企业带来了对应急响应最直观的认识和理解。
IMG_0406
到这里,一整天的议题就都结束了,不得不说,专业场还真的是很专业啊,给企业带来一场关于安全的盛宴,内容从企业安全如何架构到内网、应急响应等,能不能说这是“一条龙”服务呢?
期待我们分享第二天的内容吧~第二天的白帽场是面向信息安全爱好者的哟,各种酷炫技术都在这里。