Kcon v2知道Web安全论坛全记录
8月21日上周三,小编来到北京金台饭店,参加了由互联网安全厂商知道创宇主办的第二届Web安全论坛Kcon v2,这次会议对外不收取任何费用。值得一提的是,这次Kcon和中国的顶级黑客会议Xcon在同一个酒店,同一个会议厅内,而且提前Xcon一天,大有一种狭路相逢勇者胜的意味:)
会议共5个议题,侧重Web安全,均为技术性议题,议程为当日一个下午。小编中午早早来到会场,看到会务组的妹子们在准备签到事宜及茶歇的食品,忙碌而有序。工作人员也在布置会场。细致的签到流程,丰富的茶歇食品,门口的宣传易拉宝,讲台上的巨幅Kcon背景,每个细节都做的很到位,完全不亚于其他任何一场专业的安全会议。
随着会议时间的临近,签到处的人越来越多,渐渐的排起了长队,看下图中小伙伴们的衣着和装备,一股浓浓的IT范儿。
妹子为每位入场的同学贴上会议标识。
下午一点半,会议准时开始,会场内场面壮观,320个左右的座位,座无虚席,而且在会场的两翼和后部,也都围满了人,小编大致算了算,参会者总共达到了500多人。
首先由知道创宇网站安全部总监余弦进行Kcon议程及演讲者的介绍。毕竟下午的时间有限,议题较多,闲话不多说,第一个议题由知道创宇高级安全研究员黑哥带来《去年跨过的浏览器》。详实的介绍了其在去年研究过的各种国内山寨浏览器的安全漏洞,通过真实的案例讲解浏览器中常见的安全问题及利用方法,作为国内Web安全第一人,黑哥谦虚的自言其找出来的基本都是XSS类型的漏洞,至于那些溢出类型的都是高富帅们玩儿的:)
来自天融信阿尔法实验室的安全研究员sH同学的《Having Fun with XML Hacking》,介绍了基于XML技术的多种类型的攻击手法,XML注入,外部实体攻击等。
来自百度的d4rkwind从甲方的角度出发,分享了其在甲方处理漏洞时的经验,加以总结和提炼,带来《互联网公司通用XSS解决方案探讨》的议题,可以作为各大甲方厂商处置XSS漏洞时的参考,也可以学习其中共通的方法,延伸到其他类型的漏洞中去。
来自习科的YoCo Smart,将Web安全的范围扩大到了终端机的B/S操作界面当中,利用主流的Web安全技术,对终端机进行安全测试,让人耳目一新。
会议之中临时增加了一个议题,由cncert的美女博士胡俊带来《通过cncert看安全》,讲述cncert对当前安全局势的看法以及对一些攻击事件的处理响应机制。
最后的压轴议题由来自知道创宇的架构师小雨分享知道创宇大数据网络空间搜索引擎Zoomeye的架构技术细节。虽然已经傍晚6点多,但现场的气氛依然高涨,演讲结束后,参会者频频提问。
这次Kcon令小编印象非常深刻,应该算是民间举办的最大规模的一次安全会议了,而且完全开放,免费。对于这种会议,小编我只能说,多多益善:)
最后照例,以一张妹子的图片收尾,觉得小编我够意思的就点个赞吧。
sH:Having Fun With XML Hacking
更多细节内容请关注FreeBuf后续放出的PPT及会议视频。