乌云首届安全峰会速写

乌云首届安全峰会–攻防之城,于2014年9月12日在北京召开。作为一名伪资深会棍,下面为大家分享下会议的部分情况。   天还未大亮,秋意掩着灰蒙蒙的天,北京这座城市还未完全醒来。由于帝都深受诟病的恶劣交通,我很早就出发前往这次峰会的举办地点–中关村皇冠假日酒店。     “有熊出没!” or “有熊出,没?”,在黑阔占据的场所如果没有把握,永远不要试图连wifi,不然。。     好吧,大批黑阔在会议中刷屏,窃取的各种汇款、暧昧、快递通知短信层出不穷的在IRC上弹幕(也可能部分掺了假),。以后再也不敢乱连wifi了!   短暂开场白宣讲后,首先是Livers的《智能家居光环下的玄机》:     以欧瑞博的智能家居为例,黑客可通过劫持重放对其进行操作。Liver带来的视频都比较有趣。不过下面的黑阔却不大老实。纷纷掏出mac pro、air,各种高富帅套装,纷纷开始大肆行动。     在人群中,发现了几个熟悉的身影,大家猜猜看都是谁?     接下来演讲的是Gainover,议题《从一个被忽视的漏洞到XSS僵尸网络》,Gainover二哥总是很幽默:     这位生物学博士以诙谐的视频向我们描述XSS的危害,被各大电商和社交网络忽视的一些小小的跨站漏洞,在其手里化腐朽为神奇,化为了大面积杀伤性工具。其中一个优酷Flash Xss漏洞利用,给我留下了深刻印象。调用或者间接调用该优酷Flash Xss链接的视频,都会中招,影响力颇大。   然后是茄子RAyH4c给我们带来的《细数安卓WebView的那些神洞》,由于我对安卓逆向这类漏洞研(ban)究(dian)不多(dong),因此安卓逆向这些漏洞只能在那儿弱弱地表示围观,不过茄子确实很厉害的样子(表打我)。   丰盛的午餐后,回到会场继续观看议题。     知名白帽子猪猪侠很少露面,今天他为大家带来了《自动化攻击背景下的过去、现在与未来》议题,讲述了从前安全从业的一些经验,并给我们分享了他正在开发的一款全自动扫描工具的架构与功能设计。值得一提的是,他最后反复强调。扫描的成功率是建立在大数据挖掘上的,拥有足够的数据来统计和深度利用从而研究出规律,将极大地提升扫出漏洞的效率。     除此之外,还有百度的安全架构师专家王宇的《安全事件处理二三事》,主讲了应急响应相关处理。小宇哥还是非常给力的。还有过于实诚,似乎想把所有干货吐完的LBE安全大师CEO张勇。当然也缺不了极路由的副总裁康晓宁带来的《智能路由在家庭网络中的安全考量》,以及快钱包CEO张健和梆梆安全CTO陈彪带来的议题(由于前面演讲专家的太过沉迷,这两位几乎草草讲完)。这些都是非常精彩的演讲,篇幅有限,就不一一例举了。   按照FreeBuf会议记录的惯例,咳咳,送上一些小福利,不喜的大牛请绕道   好像混进来了奇奇怪怪的人物?enjoy yourself