上周五（11月27日）杭州举行主题为“金融&移动安全”的沙龙会议，Freebuf作为OWASP中国的合作媒体带来了现场直播（@黑客与极客Live）。虽然选的周五，但来的人还是出乎意料的多，挤满了整个会议厅，后门也站着一群热情的小伙伴。

金融支付方面，演讲嘉宾有大家都很熟悉的来自支付宝的安全体系建设者cnhawk郑歆炜，还有来自商盟的鲁晋；

移动安全方面，除了OWASP杭州负责人无心喃呢（袁明坤）介绍OWASP Mobile Security项目外，前来的嘉宾还有移动应用安全方面Lockhart（卢彬良）主讲企业移动安全测试方法、实践经验与安全建设；Android芯片安全方面的Android小分队队长陈家林介绍Android小分队及Marvell芯片级支付安全解决方案；还有来自Kennteem的大牛蛙（王琦，微软中国MSRC平台创始人，pwn2own大会冠军）讨论移动系统安全及漏洞挖掘漫谈，并介绍pwn2own大会详情及iOS越狱圈、国内安全圈的奇闻异事。

议题一：《建设支付宝的新安全体系》

演讲嘉宾：郑歆炜，cnhawk，多年安全从业经验，目前在阿里巴巴支付宝供职，专注安全体系。

议题简介：新时代，企业安全面临的威胁也发生了许多变化，新的攻击方法也给企业安全带来诸多挑战。如何建设新的企业安全体系来防护各种攻击成为企业安全人员新的任务！

关键词：安全建设，新安全业务，安全体系

议题二：《信息安全保障体系在第三方支付行业中的落地和推广》

演讲嘉宾：鲁晋，商盟商务服务有限公司，风控及安全管理部副总经理，深入研究并实施国家信息安全等级保护标准、ISO27001标准、ITSM服务管理框架，能将体系标准与实际工作中存在的问题进行有效的结合，对于大型企业的IT治理工作具有较为独到的理解和经验。

议题简介：分为四部分，分别为：三方支付行业简介、第三方支付行业监管要求、第三方支付行业安全管理体系的设计与实施、第三支付行业信息安全的期望

关键词：安全体系，支付安全实践

议题三：《传统移动客户端到游戏客户端安全测试》

演讲嘉宾：卢彬良，lockhart，OWASP Mobile Security项目组成员。现盛大游戏安全工程师，主要负责Web安全、反外挂运维、移动客户端安全相关工作。

议题简介：简要分享在过去在安全公司给金融、运营商客户做移动客户端安全评估、到现在做游戏客户端安全测试的区别、方法及经验（Android为主）。

关键词：移动应用安全测试，移动应用安全建设，测试框架，测试工具，案例分析

议题名称：《芯片级移动安全支付解决方案研究》

演讲嘉宾：陈家林，Android小分队队长，Marvell高级研发经理，武汉大学信息安全硕士，6年多嵌入式智能设备平台研发经验，专注于安卓系统级安全解决方案，充分利用系统软硬件让使安卓平台达到最高安全等级。带领团队使所在公司Marvell成为首个通过中国工信部移动智能终端安全要求最高5级认证的芯片公司。

关键词：Android小分队，芯片级移动安全，支付行业芯片Marvell芯片解决方案

议题名称：《移动安全漏洞漫谈》

演讲嘉宾：王琦，大牛蛙，曾是微软中国MSRC漏洞报告平台创始人，现在碁震云计算公司，KeenTeem队长，Pwn2Own攻破ios7.0.3获冠军。

议题简介：PPT虽然只有两页，但是沙龙演讲和讨论很精彩，主题是移动系统安全及漏洞挖掘漫谈，并介绍pwn2own大会详情及iOS越狱圈、国内安全圈的奇闻异事。介绍、讨论的内容很多，收益匪浅。

关键词：漏洞挖掘，Pwn2Own，iOS系统漏洞，iOS越狱圈，320个CVE

议题名称：《Mobile Security项目介绍》

演讲嘉宾：袁明坤，无心喃呢  在IT安全、安全测试和网络安全架构设计和实施方面拥有7年工作经验。获得过ISO27001，CIW讲师，情报分析师，进攻性安全专家等认证；同时也是中国开源SecurityMap创始人之一；浙江省安全协会专家委员会副主任；OWASP杭州区负责人之一，负责的OWASP开源项目有：webgoat，hacking lab，Mobile Security。

议题简介：移动应用威胁模型、移动安全测试指南、移动安全测试方法论、移动安全cheat sheet、十大移动安全控制和设计原则、关于Top 10 Mobile Risks、项目成员及意见征集

关键词：OWASP Mobile Security项目，OWASP Mobile Top 10

沙龙PPT下载