演讲嘉宾

议题名称：OWASP Mobile 2016 & Self-healing apps

议题简介：OWASP Mobile Top 10 2016正式发布。 OWASP移动团队一直在努力改进移动安全标准。OWASP移动项目高度专注于提高Android、iOS和Windows等平台的移动应用程序的安全性。OWASP Mobile Top 10 2016版本更倾向于移动移动应用程序，而不是服务器。2016版本新增了跟物联网相关的“M10：无关的功能“。

我们也正在增加移动应用自我修的相关内容。 如果一个移动应用程序足够智能，能够检测并阻止潜在的攻击，那么它不仅会帮助到渗透测试人员; 同时也有利于帮助企业和开发人员。它还将确保每一个被开发的应用程序能够满足所有基本的安全需求以防止潜在的MITM攻击。这将有助于保障应用程序的的请求/响应的完整性。在不久的将来，我们将有一个示例应用程序来演示这一概念。

演讲嘉宾：Milan是一位对信息安全非常有激情的知名国际演讲者。他是OWASP全球移动安全项目的负责人，完成了移动APPSEC指南、清单和cheatsheets。Milan也是印度私人公司的信息安全顾问。他的主要关注领域在移动安全，已为银行、保险、医疗和电子商务等行业的知名客户提供移动应用程序安全方案。最近，他为苹果IWATCH的客户端做了渗透测试。

他在安全代码审查、NFC渗透测试、web应用安全、VAPT活动、无线笔测试，支付网关安全评估等领域有自己的专长。他的研究范围并不局限于这些技术。作为“开源”技术的坚定支持者，Milan从2010年以来一直在推动其发展。

议题名称：Testing next-gen iOS apps

议题简介：苹果公司的iOS应用程序在过去限制非常严格，但近年来，随着功能和先进的进程间通信的增加， IOS应用也逐步开放。使用增强的多任务处理、采用Swift等新的语言、对苹果腕表等设备的扩展、采用触摸ID识别、应用程序传输安全和使用HomeKit等新的框架， 这些新功能的使用的同时也增加了更多的攻击面。本次议题将重点讲解用于这些应用程序的测试方法，并讨论导致安全问题的不良安全实践操作。同时我们还将讨论有效逆向工程的实用技巧。

演讲嘉宾：Prateek，作为OWASP成员和贡献者，拥有5年以上信息安全行业从业经验。五年期间，他对移动和网络应用程序进行了大量的渗透测试，也为App Store开发了很多的应用程序。Prateek的核心关注领域是移动渗透测试和嵌入式设备黑客攻击。同时，他是开源漏洞应用程序(Damn Vulnerable iOS app)的作者， 在许多大型会议中发表演讲和培训，包括：Defcon、Blackhat USA、Brucon、Hack in paris和Phdays等。

议题名称：Big problems with big data - Hadoop interfaces security

议题简介：“云计算机”和“大数据”这些新技术是否给安全测试人员带来了新的挑战？

在本次演讲中，我将会给大家演示如何对Hadoop进行渗透测试，它并没有和其他应用程序有多大区别。除了其安装的复杂性和多数量的接口, 可以使用常规测试技巧对其进行测试，包括:web应用程序漏洞、SSL安全、静态加密, 过时的漏洞库和最小特权准则。

我们对流行的Hadoop环境进行了测试，发现了某些关键性漏洞。这对于大数据安全来说，就像是蒙上了一层阴影。为了持续发现CVE漏洞，我们将为您展示大数据的系统的测试方法，以及一些防护方法。

演讲嘉宾：Jakub是SecuRing高级IT安全顾问，主要工作是对高风险的应用程序、系统和设备进行渗透测试。他曾在多个国际IT安全会议上发表演讲，包括OWASP APPSEC EU、BlackHat Asia、PHdays、CONFidence、HackInTheBox AMS以及当地的活动。在此之前，Jakub在欧洲Space Agency和互联网支付机构工作。除了测试应用程序，他还对专有网络协议、嵌入式设备等企业解决方案有深入研究。

议题名称：OWASP CISO Survey Report – Tactical Insights for Managers

议题简介：本次演讲是关于最新版的OWASP CISO调查报告项目，该项目是基于对全球数百位CISO和高级安全经理的调查数据而编译而成的。OWASP CISO调查报告包含最新安全行业趋势和安全风险

该目标是给高级管理者们提供关于应用程序和网络安全方面的战术情报、指引和最佳的实践方法。随着不断演变的威胁环境危及绑定的敏感数据和公司信息的网络应用程序，CISO们将面临如何最好地减轻这些风险的挑战。通常情况下，风险决策包括了贸易当中现有的和新的网络应用程序的安全性措施，并决定在哪里进行投资。在应用程序安全方面进行正确的投资是非常关键的，这能够减少安全隐患和达到治理、安全和遵从法规政策。

演讲嘉宾：Tobias是OWASP全球董事会成员，2015年12月前一直担任OWASP董事会会长。他在全球领先的信息安全、软件开发、应用安全、电子加密，电子签名等专业领域拥有超过15年的管理经验，曾在全球标准化的组织机构中为独立的软件供应商和大型跨国公司的金融、技术和政府部门里工作。他自2013年起担任IETF（www.ietf.org）会长和IETF安全理事会的会员。 Tobias也是欧洲委员会NIS会员，对欧盟的网络安全和风险管理给予建议。此外， 他还是CSA香港和澳门分会的理事会成员。Tobias参与撰写了互联网安全标准RFC4998、RFC6283和RFC7034，共同编写OWASP CISO指南和“Secure Electronic Archiving”。同时，他也是许多国际知名会议的演讲者和众多安全文章的作者。

议题名称：OWASP Top 10: Effectiveness of Web Application Firewalls

议题简介：在2015年底，我们针对大部分常见的商业和开源WAFs展开了密集测试。我们测试了基于网络和基于主机的网络应用程序防火墙，在实验室里，我们的团队测试人员尝试搜索容易被网络应用程序保护的漏洞。我们把这些产品测试置于OWASP10大标准之下，试图绕过它们的攻击来检测算法。尽管我们预期WAFs能够在某些情境下表现良好，但还是好奇它们如何处理一些特定的攻击情景。当指定的一个WAF测试失败之后，我们会联系供应商并且跟他们确认该程序运用失败并不是由于我们的配置运用错误。该演示不是为了说明哪个应用程序防火墙在我们的测试中表现得多好，而是为了研究WAF是如何在OWASP10大准则之下的高效性。例如，它们是否能够有效地抵御SQL的注入侵袭？又或者它们是否能够阻止直接、不安全的物体攻击行为？面对跨脚本攻击抑或曝露性敏感数据，它们又能做出哪些回应？这些WAFs是否真的可以有效抵抗OWASP10大基准吗？我们是否真的可以依靠它们来保护我们的应用程序安全?或者我们是否应该贯彻实施其他安全行为来减少网络风险呢？如我们一样，你们也会得到一些惊喜的答案。

演讲嘉宾：David (M. Sc., OSCP, GWAPT, GPEN, GSEC, CISSP, CEH)在IT安全领域拥有16年的工作经验，是一名网络应用程序渗透测试人员和资深的开发人员。他在漏洞评估和渗透测试方面有着广泛的经验，同时也在全球提供学校教育和培训。 他曾在中央银行、各类政府机构和私营公司工作过。在过去15年中，David一直在高等院校、大型会议和许多政府机构中从事web应用安全教育工作。

议题名称：Android硬件隔离及指纹应用的安全研究

议题简介：

1. Android的安全架构介绍

2. 指纹认证的应用场景及安全风险

3. 硬件隔离机制原理

4. 硬件隔离的安全分析及在指纹认证上的应用

演讲嘉宾：华为资深安全专家，华为SDL应用创始人之一，擅长安全架构设计、威胁建模；长期从事移动、虚拟化及通信领域业务安全的分析和研究；

议题名称：Cloud-ids：智能Web 入侵检测与威胁感知

议题简介：目前大多数甲方安全还停留在守护安全边界的阶段，寄希望于传统的防火墙、IPS、WAF，通过串行在安全边界设备上分析单向的流量来检测、阻断网络威胁。但事实上，黑客通过简单的乱序、编码、加密即可轻松绕过这些安全部署。另一方面，由于基于大量静态规则，并且没有很好地与资产关联，导致大量的误报漏报，让安全工程师淹没在海量报警中。而大量串行设备本身，对网络吞吐、稳定性也构成了很大的挑战。我们希望能有这么一种技术，在不影响网络拓扑的情况下，能记录、分析流量以及各类日志，自动学习网络结构，发现资产信息并自动关联，从一系列看似正常的业务访问中挖掘攻击行为，准确并且智能的发现安全问题。

演讲嘉宾：百度云安全部资深架构师刘焱，毕业于华中科技大学，具有近十年 bat级互联网公司甲方安全防护经验，主持或者参与了百度内部几乎全部安全监控以及防护项目，黑客入侵主动发现比例超过80%；具有多项国家信息安全专利；在国内外学术期刊、会议发表多篇论文；主持开发的安全产品在十多家国内外中大型互联网企业中使用。

议题名称：企业AppLayer面临的IT安全风险与危机

议题简介：演讲者结合20多年国内外信息安全从业经验，对前瞻性创新安全技术作出持续的研究, 分析不同安全方案的成长与变化历程。

结合传统的纵深安全防御模型 和 SSDLC（安全软件研发生命周期）对主流安全防护技术的优劣势做总结，进一步分析与DevSecOps如何更完美的融合协作。

其中，涉及到主要的传统与前瞻性创新安全防护技术集成分析 - 包括传统的周边安全防御体系 至 最新的应用安全自我防御体系RASP, 安全大数据 与 安全行为监控体系的集成协作分析与分享等。

演讲嘉宾：何迪生为ISACA北京事务委员会主席、中国信息化推进联盟信息安全专业委员会副主任，主管微软大中华区信息安全领域超过8年。在2008年担任了北京市市政管理委员会奥运城市运行指挥平台安全顾问。
信息安全领域从业时间：近20多年

曾任职位：微软大中华区信息安全总监、ISSA (信息系统安全协会) 香港分会主席、ISACA(国际信息系统审计师协会) 北京委员会主席、香港警署防犯罪技术部（TPCU）防止犯罪技术和安全咨询顾问、世界贸易组织（WTO ）第六次部长会议首席安全咨询师、第29届北京奥运会 - 奥运城市运行指挥平台安全顾问

现就职：北京蓝海讯通科技股份有限公司 - 首席安全 (前瞻性创新安全技术) 总顾问

议题名称：Engineering better security

议题简介：

• 漏洞风险管理系统的重点
• Web应用安全评估技术特点
• 安全事件检测和响应系统的建立
• 安全也是服务

演讲嘉宾：35岁,现居于上海。现就职于Raid7。毕业于复旦大学,有12年的安全经验。曾在Venustech、 McAfee、TippingPoint(HP ESP) 以及 PaloAlto Networks工作过。他也是一个PMP, 参与过中国东部的一些大项目。熟悉Anti-virus 、IPS/IDS、NGFW、脆弱性管理解决方案。

议题名称：移动互联网应用的服务端安全防护探讨

议题简介：移动APP的是移动互联网重要的标志。针对移动App的客户端安全已经引起足够重视并推出了大量行业解决方案。然而作为新兴事物，APP服务端的安全,人们仍然用常规的安全防护手段来解决，这是大量APP安全事故高发的原因。本次主要分析APP服务端结构，探讨移动互联网时代APP服务端防护的新思路。

演讲嘉宾：权小文，1978年，陕西人，毕业于清华大学，获得硕士学位，2005年获得高级工程师职称，拥有4年大型国企技术和管理经验，6年跨国公司技术和管理从业经验，5年国内创业经验，15年信息安全从业经验，获得5项网络安全相关的发明专利，18项软件著作权，参与国家重大科研专项6项，参与一项网络安全相关国标制定；主要从事信息安全产品研发、技术管理、产品线管理等工作。主持开发的Web安全系列产品，占有国内30%以上市场份额，并且出口到美国、印度、迪拜等国家。创建的远江盛邦（北京）网络安全科技股份有限公司，已经申报全国股转系统，并在2016年4月14日正式挂牌新三板。

议题名称：Capture-the-Flag Secrets

议题简介：经过几年“危险式”的挑战，黑客实验室推出了2015他们屡获殊荣的进攻/防御CTF框架来运行European Cyber Security Challenge (ECSC)（ECSC）。一些欧盟国家之间的ECSC-CTF面向网络人才，并且把他们与工业界、政府和网络安全行业聚在一起。该演讲主要描述ECSC背景细节和黑客实验室CTF的经验，是专门为如何来建立一个CTF平台以及在更大的规模上如何运行CTF而感兴趣的人员设定的。演讲在技术上采用geek-style语言。

CTF游戏往往触及到信息安全的许多其他方面：加密、隐秘、二进制分析、逆向工程、移动安全等。优秀的团队在这些问题上，通常都有很好的技能和经验。

演讲嘉宾：Compass Security AG的共同创始人兼CEO,该公司是一个先进的瑞士道德黑客攻击和渗透测试公司。Ivan在网络和计算机安全方面有几项国际认可的出版物，他同时也是Rapperswil大学应用科学和Lucerne大学应用科学和艺术系的老师。Ivan还担任过国际会议的演讲者（BlackHat 2008 Las Vegas, OWASP AppSec Washington, IT Underground）。他是Swiss Cyber Storm 4 会议董事会的成员和Hacking-Lab的 CTO。

议题名称：软件源代码安全实践

议题简介：

近年来，国内外软件安全事件层出不穷，大家对软件自身的安全性越来越重视，如何提高软件自身的安全性，介绍软件源代码安全在开发测试流程中一些实践，如何做到软件内建安全；通过对上千款开源软件源代码进行缺陷检测得到的实测数据，深入分析开源代码安全现状；探索软件源代码在高校教学中方法。

演讲嘉宾：韩建，“360代码卫士”产品技术负责人，资深代码安全研究员，一直从事源代码安全检测产品的开发和软件安全风险评估工作，作为技术骨干参与多项国家级、部委级科研课题，为多家企事业单位提供过源代码安全服务，涵盖了石油、电力、航空以及金融等行业。

议题名称：新型安全人才培养模式探讨

议题简介：我国安全人才缺口巨大的背后，大量网络安全专业学生，因为无法达到企业网络安全从业人员的要求而转行？ 如何建立有效的网络安全人才培养机制，将是我们本次议题探讨的重点！

演讲嘉宾：OWASP中国主席，SecZone创始人之一，应用安全联盟、开源基准项目发起者；长期专注于软件安全开发生命周期（S-SDLC）技术研究与推动，致力于推动中国软件安全技术的发展。

议题名称：从软件工程师到软件安全经理

议题简介：目前软件应用安全得到越来越多的重视，本议题与大家分享怎么从一个软件工程师演变成软件安全工程师，然后如何进阶成一个软件安全经理

演讲嘉宾：王文君， HP Enterprise Software全球安全技术主管，负责年营业额10亿美元的软件产品线的总体安全，以及SDL(软件安全开发流程)在公司内部的实施。OWASP上海分会负责人，CWASP资深讲师，拥有CSSLP和CISSP认证，是《Web应用安全威胁与防治》的作者之一。

议题名称：信息安全高端人才培养实践

议题简介：

2016年是中国接入国际互联网的第22年头，截至2015年底，中国网民规模突破6.68亿，国内域名总数3102万个，网站近423万家。中国企业使用计算机办公的比例为 95.2%，使用互联网的比例为89.0%，中国已是名副其实的“网络大国”

“《2014年网络信息安全人才调研报告》显示，截至2014年底，我国培养信息安全专业人才总共约为4万人左右，离需求量50多万差距难以缩小。”

红客训练营结合网络信息安全人才知识结构涉及信息安全技术、管理、法规标准等多方面，综合知识要求全面，所以学历教育周期长等特点，打破常规已岗位为方向，制定特殊的实训方案培养社会所需的网络信息安全人才。

演讲嘉宾：从事信息安全13年，多年来一直从事信息安全产品的研发和产业化，熟悉国内外的网络安全技术，北京易霖博信息技术创始人，红客训练营创始人，公司13年成立，在其带领下从公司三五人目前已经成长为50人的团队其中研发人员35人，承担国家级比赛及省赛数十项。