演讲嘉宾
汪德嘉
汪德嘉博士,通付盾(PayEgis Inc.)创始人、董事长兼首席执行官。数据分析专家、国际计算机学会(ACM)资深会员,时空码的发明者。拥有十多年美国硅谷软件公司(Oracle, Acosta, VISA, IBM,Lyris及Tulando)的总体设计、产品开发及管理经验,并在硅谷多次参与早期创业(TrueDemand、PlaySpan、M- Factor),都被世界500强公司收购。历任工程师,主任工程师,总架构师,总监及总裁等职位。拥有美国University of Wisconsin at Madison数学博士、中科院软件研究所理学硕士、中国科学技术大学概率统计学士。拥有二十多项国内外技术专利。
议题名称:金融APP安全分析
议题介绍:移动互联网的蓬勃发展使我们迎来了一个没有时间、空间甚至硬件限制的新网络时代,但挑战也随着而来;金融级移动应用为企业带来了新的经济增长 点,但伴随而来的还有”端“、”管“、”云“端的多重安全风险。本议题通过各类案例全面介绍移动应用面临的安全风险以及如何有效的检测和防御这些安全风 险。
林榆坚
 |
林榆坚 北京安赛创想科技有限公司CTO,知名漏洞扫描器AIScanner创始人,一直专注于研究系统的、有效的漏洞检出方案。曾发现微软、雅虎等企业的多个漏洞,目前已为30余家大型上市公司提供漏洞检出产品和安全咨询服务。曾参与多项国家科研课题并取得技术突破,并参与编写了多项信息安全行业标准。2009年任百度安全工程师,2012年创立北京安赛创想科技有限公司,2013年入选中关村海内外优秀人才工程。 议题名称:金融Web应用系统漏洞分析方法 议题简介:经研究发现,当前的金融行业Web应用系统中,30%以上存在中高危漏洞。金融系统要求具备极高的安全等级,要应对各种通用漏洞及已知漏洞已是非常困难,面对动态变化的各种0Day漏洞及不断升级的黑客攻击手段更是难上加难。本议题以金融行业安全态势为基础,分析当前金融行业Web应用系统漏洞现状和成因;提出全自动扫描、半自动扫描、全被动式扫描3种Web应用系统的漏洞检测方法,能够较好地解决目前漏洞扫描方案的局限性。该方案目前已被多家银行和大型企业采用,具备较高的实用性。 |
董方
 |
董方,2003年接触Web安全, 80sec成员,曾就职启明星辰、搜狐。负责Web攻防分析、IDS/IPS防御规则研发、业务线安全架构&源代码审计&SDL,2012年创业,成立日志宝,专注于数据安全分析,现任360网站卫士产品总监。 议题名称:数据分析、关键词和地下产业 议题简介:大数据分析是现在最火热的一个话题,本议题不会深入讨论大数据概念及其相关架构,而是从日志分析这个环节切入进去,介绍360网站卫士团队在纯粹的数据分析层面使用的到技巧和方法,并且围绕与数据分析相关的关键词分析、关键词绕过技巧、异常建模等话题展开介绍,并最终通过数据分析揭露两个活跃的地下产业链现状。 本议题的宗旨是希望分享360网站卫士团队使用到的一些实战性较强的数据分析方法,通过交流希望能看到更多落地的数据分析案例,而不是总在谈大数据分析思路。 |
秦波
|
秦波是北京知道创宇信息技术有限公司的资深安全顾问。主要研究成果有:协编国家标准《Web 过滤防护产品标准》,OWASP《WAF 测试基准项目》;主编电信标准《Web 应用防火墙标准》,军方标准《军方web安全》等;专利联合发明《一种网络安全防护方法、设备和系统》,《通过自学习生成白名单防护规则》。 议题名称:大数据形式下的Web安全防护思路 议题简介:Garnter曾经提出一个概念:大数据是一个成型的解决方案,但现在更多的人不知道该用这个方案去解决什么问题(Big Data is a solution looking for a problem),但我们(知道创宇)却在大数据的研究和积累上坚持了6年多,并最终将大数据需要解决的问题落实到了“互联网安全”上。本议题将给大家带来我们在这方面的研究思路 |
张天琪
 |
张天琪(pnig0s),就职于阿里巴巴,FreeBuf黑客与极客安全媒体平台创办人之一,漏洞盒子安全众测平台创办人之一,xKungFoo,xDef等安全会议演讲者,多次发现Google,Yahoo,Ebay,Twitter等国外知名厂商安全问题并获得公开致谢。 议题名称:XML实体攻击:从内网探测到命令执行步步惊心 议题简介:XML实体攻击是利用XML语言支持实体的特性对目标进行攻击。这种攻击技术在国外已经被提出多年,但仅在近两年才引起国内外安全研究人员的重视。国外知名厂商Google,Facebook等都曾为该类安全问题支付过高额的漏洞奖金。本议题通过各类案例全面的介绍了XML实体的各类攻击手法,如何发掘潜在攻击点,高级的绕过防御的技巧以及如何有效防御XML实体攻击的措施。 |
