演讲嘉宾

Mordecai Kraushar

Mordecai Kraushar（CISSP, QSA）是美国CipherTechs公司的安全审计主管，同时也是OWASP Vicnum项目的发起人。Vicnum项目是基于PHP应用程序，显示诸如跨站攻击、SQL注入和会话管理等漏洞，从而帮助安全审计人员提升web安全技能。该应用程序用于多项“夺旗”挑战，同时也是OWASP BWA项目的一部分。
Mordecai Kraushar同时也是纽约大学的兼职教授，教授IT安全课程，包括Securing Web Applications: Hacking Understood

议题： OWASP Broken Web Apps

议题主要介绍OWASP社区关于进一步发展Broken web应用程序的最新内容。包括以下内容：
测试web应用程序扫描器（产品和人员）
测试手动攻击技术
测试源代码分析工具
检查允许存在漏洞的代码
测试web应用防火墙
检查攻击留下的证据

Ivan Bütler

Ivan Bütler是Compass Security AG的共同创始人兼CEO,该公司是一个先进的瑞士道德黑客攻击和渗透测试公司。Ivan在网络和计算机安全方面有几项国际认可的出版物，他同时也是Rapperswil大学应用科学和Lucerne大学应用科学和艺术系的老师。Ivan还担任过国际会议的演讲者（BlackHat 2008 Las Vegas, OWASP AppSec Washington, IT Underground）。他是Swiss Cyber Storm 4 会议董事会的成员和Hacking-Lab的 CTO。

议题：National Cyber Storm Competition

Hacking-Lab是一个允许安全专家深入挖掘网络安全漏洞的合法社区。Hacking-Lab免费提供OWASP TOP 10安全挑战，并提供政府部门和业界定制的网络安全攻防比赛。寻找最赋才能的网络专家是艰巨和有挑战性的，参入此次讲座了解Hacking-Lab，学习如何使用Hacking-Lab，并进一步学习真正的网络安全智慧

包悦忠

议题：S-SDLC&业务安全

软件安全保障目标的实现取决于能否将软件安全工作体系化并逐步提高企业自身的相关能力。议题分为两个部分：第一部分介绍软件安全保障的流程与应用；第二部分重点讨论软件设计安全问题，通过具体实例剖析如何利用数据流分析的方法识别业务安全风险并执行有针对性的安全测试。

tony

刘志乐（tony），男，本科，毕业于北京外国语大学，现任于杭州安恒信息技术有限公司安全服务部总监，同时为OWASP中国分会委员，华东地区会负责人之一，浙江省计算机信息系统安全协会安全技术专业委员会副主任。在信息安全领域工作10余年，是资深的信息安全工程师，并且担任浙江省等级保护测评师工作。获得了CISP，ACCP软件工程师认证。在这10年里，主要从事信息安全实施规划、信息安全风险评估、信息安全服务、安全管理平台等方面工作。曾参与2008年第29届奥运会奥运安保工作，多次递交北京奥运会网站安全漏洞，并得以修复。

议题：OWASP  Top 10(2013)java开发安全实践

介绍java开发中结合最新的OWASP TOP 10（2013）安全风险，其中包括：

Injection
Broken Authentication and session Manager
XSS
Insecure Direct Object References
Security Misconfiguration
Sensitive Data Exposure
Missing Function Level Access Control
CSRF
Using Known Vulnerable Components
Unvalated Redirects and Forwards
通过自定义框架、esapi、shiro、Sanitizer 工程安全工程实践全面提升应用系统的安全性。

董方

日志宝创始人

曾混迹于启明星辰研发、搜狐安全组

现就职于奇虎360网站卫士，从事数据分析相关工作

议题：攻击万花筒-基于大数据的攻击行为关联分析

结合360网站卫士产品积累的大量黑客攻击数据，挖掘攻击行为以及攻击者背后的故事

林峰

林峰，知道创宇安全研究员，安全服务组组长，专注网络安全和恶意软件防御、安全应急与入侵分析取证。现主要从事安全服务等方面工作与Web安全前沿技术的跟踪与研究，在政府、金融、企业、运营商、军工等行业具备渗透测试与安全应急实践经验。

议题：大数据的安全新思路

早在95年Mica R.Endsley的论文中提到了“利用当前数据及趋势预测未来事件”这一思路时，大数据的方向就已经被定性，而“预测未来”这件事也一直是大家对大数据极为着迷的原因之一。然而，大数据在信息安全中的应用步伐却一直相对滞后，知道创宇有着超过6年的大数据积累以及大数据的挖掘、分析能力，本议题将与大家分享关于知道创宇在大数据方面的研究思路，与大家一起探讨如何利用大数据来实现预测和预警，一起“预测未来”。

杨黎拥有10余年软件开发经验，曾负责银行系统包括柜面系统、网上银行系统的分析设计和开发工作。致力于构建安全的企业应用软件，支撑企业信息安全建设。

议题：对企业面临安全挑战的思考

身处信息化如此快速的时代，无论是传统的IT信息系统，还是要迎接云计算和移动应用，企业的CIO们需要考虑的安全问题越来越多，也越来越纠结于怎么做安全投入。本议题探讨了如何考虑企业的安全问题，如何减轻企业的安全负担。

魏兴国，网名云舒，知名安全专家和高级安全专家，负责集团范围的网络安全以及云计算安全。

议题：云计算安全的未来—安全设备虚拟化

基于阿里云的实践进行展开。主要是基于SDN实现网络架构弹性可控，基于虚拟化实现计算资源随手可得，将硬件设备OS独立出来运行到VM上，让安全设备快速部署，弹性收缩。

Sam began his career in security after one of his corporate servers was hacked 16 years ago. Usually spends his time on finding new vulnerabilities by doing dynamic analysis. Sam is graduated in HKU, a CISSP and co-author of 5 patent pending algorithms

议题：Next Generation Vulnerability Finding Software: Real-time Agents

Real-time server agent is one of the hot topics in vulnerability scanning. In this presentation, we show how penetration testing can be improved with the help of a real-time agent. A real-time monitoring agent gives more accurate information on what is going on in the application. A real-time modifying agent leads the penetration test to pages that could not be accessed before

吴卓群，从事多年的web应用安全领域研究，擅长漏洞发掘、代码审计。进行多年应用安全测试,有着丰富的经验

议题：基于java 字节码的灰盒动态漏洞检测

传统黑盒测试存在大量的误报和漏报，并且对于存储跨站、命令执行或其他无回显的漏洞都难以检测，通过白盒发现这些漏洞又费时费力，所以可以通过动态修改字节码的方式进行测试，可以有效的提高测试效率和漏洞发现率，以及最新0day分享。

陈安明，独立应用安全风险分析师。是中国最早从事源代码分析技术调查和研究人员，专门从事应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询。其优秀的软件安全方案、产品及专业化的软件安全开发生命周期SDL服务已进入金融银行、保险、电信、汽车、媒体娱乐、软件、服务和军事等财富1000的企业

议题：启用源代码分析技术处理大数据

传统以安全为导向的源代码分析工具只能检测到黑客明显可以利用的漏洞，而且这些工具所找到的安全漏洞的数量非常多，即使这些结果是精确的都很难在短时间修复，这样一来，我们就不得不面临两个现实问题：

一、我们如何对付那些工具没有覆盖到的代码？

二、我们怎样才能提高安全漏洞修复的能力？

为了应对这些挑战，我们把研究的侧重点放在了大数据分析领域，将大数据的先进技术与我们的研究整合到一起。借这次交流的机会，我想与大家分享一下我们的研究方法以及我们的成果。

王新杰，自1999年至今在信息安全行业从业十三年。主要工作领域为信息安全管理体系、信息安全审计和信息安全教育培训。

议题： 做好准备迎接新版ISO/IEC27001

全球最成功的信息安全管理国际标准ISO/IEC27001第二个版本将于2013年秋季发布。过去十年中，中国已有两千多家组织获得该标准认证，全球通过认证的组织也超过两万家。每一个组织应该做好准备实施新版ISO/IEC27001，新版本标准无论在结构还是内容上与第一版比较都发生了巨大的变化。另一方面，对信息安全人员的能力、执业资格认证以及教育培训等方面要求，更是组织成长的关键。本专题将帮助您做好准备，迎接2013年ISO/IEC27001新版本的到来，同时帮助您重新审视组织的信息安全人力资源战略。

赵振兴，毕业于大连理工大学计算机专业；

中国美术馆志愿者（见习生)；

测试过的项目有QQ西游和Yahoo Mobile Platform；

目前主要从事的领域是网络游戏安全测试，包括威胁模型，安全分析工具与测试方法。

业余爱好：看足球，追穆里尼奥。

议题：网络游戏竞态测试

做网游安全测试时我们知道，网游的服务器一般是分布式结构，状态较为复杂，容易存在一类漏洞，它出现在一种竞争条件下，在此种条件下系统会进入一种"不确定"的状态里。我们可以借助对进程间通信时序的分析，制作分析工具，去帮助安全测试者去分析这种竞态情况。此议题的主要内容是以网游里的帮派捐款这个场景为例子，给大家分享如何基于对游戏的时序分析来做一次竞争状态的测试设计与测试执行。

主要负责整体安全工作

议题：渗透那点事儿

zabbix hacking,运维平台渗透,直击办公内网到域服务器

李骁，现在是一名研究生二年级学生。本科期间主攻J2EE应用开发与Web前端开发。由于个人兴趣，研究生期间开始接触安全技术，主要研究方向有：JVM安全机制与漏洞分析、程序分析与漏洞挖掘、Web前端安全等等。

议题： JM逃逸：分析、利用与防御

Java作为世界上最为流行的编程语言之一，拥有众多的开发者和用户，Java运行时环境（JRE）则具有相当庞大的装机量。Java程序运行在高级语言虚拟机JVM上，它的一些安全机制限制了来自互联网的不可信Java Applet的运行时权限。然而近年来，JVM安全漏洞层出不穷，JVM逃逸技术渐渐被攻击者熟知和掌握，给个人计算机带来不可估量的安全损失。本议题主要介绍对JVM安全机制的研究、JVM逃逸技术、经典漏洞POC分析与总结，以及基于JVM逃逸的攻击与防御技术。