2012年7月1日,知道创宇第一届Web安全论坛Kcon在车库咖啡成功举办。本次论坛的嘉宾均是在web安全行业的领军人物,多年来长期从事Web安全研究和相关产品研发,在安全领域有着极其丰富的经验。本次论坛共计四个议题,分别为:天融信安全研究中心阿尔法实验室Xisigr带来的《浏览器魔术》;知道创宇研究部总监余弦带来的《JavaScript安全从浏览器到服务端》;清华大学网络与信息安全实验室副研究员诸葛建伟老师带来《"blue-lotus团队defcon 20 ctf资格赛"回顾》以及知道创宇安全研究员hysia带来的《Web Application Detector - 一种快速识别web应用程序的方法》。
在演讲开始,由知道创宇CEO赵伟(IC)和大家分享了我们所提倡的黑客精神:以创新改变世界。
在《浏览器魔术》议题中,演讲者xisigr以一个惊艳全场的魔术开场,引出了议题的主题--浏览器魔术。该议题给大家展示了基于浏览器的各种欺骗手法,分别是URL地址栏欺骗、URL状态栏欺骗、标签欺骗和页面欺骗四大类,各种欺骗形式让参会者大开眼界。最后,xisigr以电影《致命魔术》的一句经典台词作为结尾:"我们俩都是年轻人,要将自己献身于伟大事业的开创, 我们是天生的魔术师,但我们不会用自己的天赋去伤害任何人。"
第二位出场的是知道创宇的研究部总监余弦。他带来的议题是《JavaScript安全:从浏览器到服务端》,演讲者结合自己多年来web安全研究的经验,给大家分享了javascript在浏览器端的各种安全应用,并介绍了MongoDB和node.js中存在的一些安全问题,让大家见识到了几乎无所不能的JS。余弦在PPT中用一句很酷的话表达了自己的观点:"战场有多大,我就能玩多大",web就是余弦的战场。
这个议题引起了大家的兴趣,很多同行们积极提问,演讲者也做了相应解答。
接着出场的是清华大学的诸葛建伟,诸葛老师为大家介绍了Blue-Lotus黑客竞赛战队参加Defcon 20 CTF资格赛的经历,让大家感受到了参加比赛时那种既紧张有兴奋的心情。演讲非常精彩,给大家讲解了比赛中每道题的解题思路,都是些非常有意思的思路。演讲中笑点也很多,现场气氛很活跃。最后诸葛老师也用一句幽默的话来结束了此次议题:"一黑黑一天,妹纸晾一边;一黑又一天,黑友共争先!"
最后,来自知道创宇的安全研究员hysia给大家分享了一种快速识别web应用程序的机制。该议题重点介绍了进行web应用指纹特征识别的方法和快速筛选识别规则的技巧,多个识别策略和技术细节,让大家收获良多。最重要的,这种无私的分享精神值得称赞!
嘉宾简介:
Xisigr:天融信安全研究中心阿尔法实验室,国内XEYE团队成员:专注Web安全、Html5安全、浏览器安全。
余弦:知道创宇研究部总监,长期从事Web安全研究与相关产品研发,这些年主要精力在Web Hacking上。XEYE成员。
诸葛建伟博士:清华大学网络与信息安全实验室副研究员。狩猎女神团队负责人,The Honeynet Project Full Member & Chinese Chapter Leader。《网络攻防技术与实践》、《Metasploit渗透测试指南》等书籍作者。
Hysia:知道创宇安全研究员,长期从事扫描器开发和web安全研究,同时也是个python控。