2013年5月25日周六，在杭州的网易大楼报告厅中举办了OWASP杭州2013春季WEB应用安全沙龙。这次安全沙龙参会嘉宾来自OWASP中国，浙江省计算机信息系统安全协会，安恒，绿盟，天融信，华为，阿里巴巴，支付宝，淘宝，网易，人人网等组织、企业的安全专家。小编也作为媒体支持方代表FreeBuf受邀参加了这次沙龙，并对沙龙全程进行了微博直播。

25日上午9点，小编就随车来到了杭州，由于路况不熟，在杭州市区转了好几圈，终于找到高架，走上了去滨江的路。下午13：10，小编终于安全抵达会场。

13：30分，会议正式开始，首先是OWASP杭州区负责人TONY和无心呢喃回顾了OWASP的历史以及在做的一些项目，并表示热烈欢迎顶着炎热夏日远道而来到会场的同志们。

来自人人网的丁冠宇介绍了目前流行的流量监控方式和防护方法，可见人人网在流量监控、防御方面积累了不少经验，并分享了利用爬虫技术，分析被保护的站点是否存在安全漏洞。

丁冠宇

淘宝网用了3年时间建立了一套相对完善的白盒测试体系，与大多基于代码特征检测的白盒工具不同的是，淘宝的白盒测试基于框架特征。并且从白盒到黑盒验证以及提交研发修复全部实现了自动化，来自淘宝的王挺带来了淘宝的自动化安全测试经验。

王挺

安恒吴卓群继续带来攻击类型的议题，分析了近年来经典的APT攻击案例与未来APT攻击的发展方向。并带来他们的研究成果，对APT攻防的一些分析，如基于主动Web的攻击检测、基于已病毒木马的检测、动态行为分析技术等。

吴卓群

阿里集团的空虚浪子心分享了一个利用阿里巴巴Hadoop集群做暴力破解的实验。使用大数据干“坏事”，将计算资源最大化，并对阿里的Hadoop集群做了相关介绍，令现场一片咂舌。看浪子优雅的舞步。

周拓

淘宝安全工程师栗永辉分享淘宝安全架构，同样分享的0day检测引擎也令人眼前一亮。栗永辉同学以前还向我们提交过freebuf的bug哦 ：）

栗永辉

最后来自网易安全的沈明星同学分享了Android下的DDOS测试工具以及针对DDOS攻击的防御策略，随着宽带无线移动通信技术的进一步发展和Web应用技术的不断创新，移动互联网业务的发展将成为继宽带技术后互联网发展的又一个推动力，为互联网的发展提供一个新的平台，使得互联网更加普及，但是在滚滚移动互联网大潮到来的同时，随之的安全问题也逾来逾严峻。

沈明星

议题Highlight：

1、杭州区负责人致辞 

2、WEB流量监控防御系统 主讲人：丁冠宇（人人网）

3、大型互联网自动化安全测试 主讲人：woyigui（淘宝）

4、高级可持续攻击（APT）攻防分析 主讲人：吴卓群（安恒）

5、电子商务云应用安全 主讲人： 栗永辉（淘宝）

6、移动互联网对DDOS攻防带来的新挑战 主讲人： 沈明星（网易）

7、利用hadoop做分布式暴力破解 主讲人：空虚浪子心（阿里巴巴）

现场花絮Highlight：

这个热点有点眼熟。。

现场各位白帽子、黑帽子茶话会，小编这码打的还专业吧？

找亮点

最后，感谢OWASP与FREEBUF一直以来的默契合作，为业内带来更多的正能量，同时也希望有更多的组织、个人、甲方乙方加入我们，让更多的人了解安全、重视安全，下次再见！