2018年7月14日,由唯品会信息安全部举办的“因唯安全,所以信赖”VSRC城市沙龙第三站,在北京成功举办,

VSRC一直秉承给大家带来一个“开放分享,深度交流”的沙龙平台,邀请的演讲者分享了各自在信息安全方面独到的见解,与现场参会的童鞋们进行了深度交流。本次大会得到了各位同仁们的大力支持,特别鸣谢阿里安全,汽车之家,新浪安全,58同城安全部,小米安全中心的各位主讲嘉宾们,感谢各位给大家带来了一场干货满满的沙龙。

微信图片_20180718142101.jpg


基于图算法的设备维度评分

 

分享者:肖景芬

唯品会

信息安全工程师

肖景芬是唯品会信息安全部智能安全实验室一员,本次他分享了唯品会基于图算法的设备维度评分的实践之路。

他认为,不是所有的业务场景都能拿到用户id,但是在任何场景,有一样东西是离不开的,那就是设备。

设备评分可以cover用户评分在用户id无法获取情景下的风控,对于黑产刷机共用设备,群控等手段有很好的识别效果,可以很好的提高黑产成本。所以设备评分值得大家拥有。

和黑产团伙的对抗是场持久战,对抗升级战。用户评分作为动态评分,可以很好的结合业务场景识别出一部分恶意用户,但是越来越多的黑产通过模拟正常用户的行为来活动了;我们需要新的维度去打击他们,设备评分作为一种动态评分,无论你怎样模拟正常用户行为,设备的异常是无法规避的。所以我们只有将动静态评分相结合,才能更有力的打击黑产。

有同学会说,设备的信息可以伪造,那设备评分不就失效了吗?

肖的回答是:和黑产的对抗,我们不能指望能在某个单一维度上打死,包括模型也是。我们需要的是更多的维度,去发现异常。只要黑产想要团伙行动,就一定能在某个设备维度捕捉聚合点的异常,图算法的方式就是去捕捉那些聚合异常点。当然还是需要同学负责加固我们的app。



广告业务域攻击手法剖析

 

分享者:柳兮

阿里安全-归零实验室

资深安全工程师

柳兮是阿里安全归零实验室的资深安全工程师,本次他分3个维度对广告业务域的攻击手法进行了分析阐述。

广告业务作为公司的重要收益来源之一,一直饱受虚假流量、内容安全、媒体质量等多方面的业务安全风险。随着视频网站相关行业、网络自制剧、自频道等生态的蓬勃发展,这些现象也越来越常见,并形成了一个完整灰色的产业链。在目前风险较高的虚假流量场景下,无线和PC端上的攻防对抗。更是尤为激烈,除此之外,攻击者也逐渐开始尝试借助机器学习和人工智能来攻破我们的防御体系。

柳兮将从攻击者的视角出发,为你一步步揭开这些现象背后的故事和攻防对抗手法。




企业安全防护与大数据实践

分享者:糖果

新浪网

高级开发工程师

来自新浪网的高级开发工程师——糖果,他认为企业构建威胁防御系统是一种基础性的工作,通过什么样的系统架构和数据流程处理,让威胁数据分析与威胁风险识别更高效呢?成为了一个课题,如何面对企业内部系统结构的复杂性处理,如何使用业界通用工具,同时采用前沿的大数据解决方案,让我们面对威胁攻击行为与纷至沓来的情报信息源时,可以行之有效的去伪存真,把握关键重点,给企业监控系统装上鼻子,嗅探到威胁的存在。给系统装上眼睛,甄别出真正的关键威胁,形成了构建威胁防御系统的重要指标,新浪通过将威胁系统与大数据平台的结合,发现了一条可以实践的路。

构建安全防护系统与大数据日志分析系统,完成业务系统、防护系统、日志分析系统之间的数据交互,通过在系统间传递日志或是主动发起交互,来判断被监控系统状态与安全性,发现隐藏在背后异动与威胁,提供了一种开发性的系统建设思路,透视出构建大数据平台所用的基础技术解决方案。





威胁情报

 

分享者:段枝宏

58同城

安全资深工程师

58同城信息安全部威胁情报系统负责人——段枝宏,主要围绕威胁情报在业务安全场景中的治理方式做了详细阐述:为帮助业务方构建智慧型安全防控网络,信息安全部自主研发了基于大数据挖掘的威胁情报系统,该系统是一个分析型安全防控管理系统,可基于现有风控系统实现统一的信息安全风控管理,帮助业务方实现事前的情报预警,事中的风险识别,事后的案件追溯,最终帮助业务线实现精准风险打击和智慧运营的效果



模板注入flask


分享者:Dayeh(呆爷)

小米安全

安全工程师

Server Side Template Injection, 服务端模板注入,最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh(呆爷),主要从模版注入Flask方向为大家带来了精彩的分享。

模板注入相较于其他注入,例如xss、sql注入、xml注入等攻击,其本质思想是一致的,服务器端接受了用户的输入,未做验证或过滤便作为模板内容的一部分,在进行模板渲染时候,发生了代码执行。目前有很多模板引擎,都可能存在这样的问题。本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。





确认过眼神,这就是你要的技术沙龙。

听了这么多议题,小编觉得收获满满,没有来的你是否觉得错过了一个亿呢?没事,咱们一起期待下一站吧~~

再次感谢各位的到来,我们会更加努力的~~~


最后,VSRC也为没有能去现场的朋友们,准备好了演讲议题PPT。

PPT分享地址:

链接: https://pan.baidu.com/s/1X7dvX2qxS0iKDocoa-boCQ 

密码: iwqd


其中:

议题1,议题5,暂不上传。

源链接

Hacking more

...