JSRC电商与智能安全沙龙在京举办

2015-11-26 6,830

一年一度的京东安全大会于2015年11月20日在北京昆泰嘉华酒店隆重举办。本次JSRC电商与智能安全沙龙——暨京东第三届安全峰会,以电商与智能安全为主题,TK、冰河、wollf、PP等业内知名安全专家齐聚一堂,共谈电商安全、智能安全、移动安全、业务安全等话题,思绪碰撞,互通交流。

jsrc1

 

大会在孤独小白的议题“IOT时代智能硬件的攻与防”中拉开序幕。智能设备,无论是智能穿戴还是智能家居,正在慢慢开始融入我们的生活。

而作为已经影响整体系统安全性的“木桶”短板,它的安全性仍重视程度不足,随之而出的是各种各样的智能家居漏洞,特别是“硬件应用层”漏洞、“硬件物理层”漏洞和“无线通信”协议层漏洞。

“App层的漏洞是如今漏洞出现频率最高的地方”,小白如是说道,主要原因还有应用的开发方在开发过程的不按规定的标准来,都按自认为的标准来使用。

jsrc2

代超作为一名京东安全研究员,主要负责JD移动安全的应急响应与日常安全检测,擅长服务器安全扫描与移动端接口的安全检测。

目前,app接口越权漏洞泛滥,团队基于大量的漏洞样本,打造基于代理的半自动流量检测工具。接下来,让代超带着我们学习“移动端半自动化检测技术探索”,如何针对通用扫描器无法扫描的越权等逻辑漏洞进自定义的安全分析检测。

 

jsrc3

 

随后,在上午的“智能家居安全方向”圆桌会议上,PP、冰河、wollf、rainman、孤独小白,对此话题进行了深入探讨,并详细解答台下观众的积极提问,思绪碰撞,好不热闹!

jsrc4

下午第一个议题由黑客叔叔p0tt1为大家带来,他的议题是“为何电商安全我打四分”,黑客叔叔认为厂商完全可以利用白帽子提交的漏洞,然后加个扫描器规则,

扫描一下全网代码,可以为厂商提交更少的安全成本和支出, 渗透利用的是“非漏洞”信息,均是已知数据和运维的问题(RainRaid雨袭团众测团队,测试了113个电商项目),例如“泄露数据”、“开发文档”或者“企业邮箱”数据,厂商需要为安全制定一个安全体系用来评定安全等级。

 

jsrc5

Flanker作为Keen Team研究员之一,专注于移动安全和程序分析领域,致力于移动平台漏洞挖掘和程序分析方法在其中应用的研究。本次议题“fuzzing binder for fun and profit”讲述了Android中的binder架构,以及我们在Android服务发现的多个高危漏洞中使用binder fuzzing发现的4个漏洞。这些漏洞已经报告给谷歌并获得/即将获得致谢,并获得了Android Security Bug Bounty的奖励。

jsrc6

 

下午最后一个议题是phithon带来的“被Git打开的企业安全大门”。GIT对于开发者而言,是一个好用的版本控制软件;对于黑客而言,是一个信息宝库,但是在对于黑客来讲也存在一些安全隐患问题,phithon在议题中讲到在github中利用搜索小技巧来寻找漏洞,并以白帽子的角度分析如何对此类安全问题进行深挖与利用。

jsrc7

 

最后,大牛们共坐一席探索“电商安全”,本届大会也在“电商安全方向”圆桌会议中圆满结束!接下来本年度白帽子颁奖典礼也将于年底召开,届时还请大家继续关注喲~

jsrc8

 

附大会PPT地址:pan.baidu.com/s/1i3HFQ7r

 

本文作者:京东SRC

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/40578.html

Tags:
评论  (0)
快来写下你的想法吧!

京东SRC

文章数:73 积分: 129

京东安全应急响应中心

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号