事件详情

由京东安全应急响应中心主办的第一届N+1的力量电商安全沙龙于上周六召开,云集了电商,支付行业及国内各大甲方乙方众多安全从业人员,其中不乏资深安全专家,纷纷来此论道分享。

小编代表FreeBuf也有幸参加并对会议全程进行媒体支持,下面请跟随小编一同回顾丰富而精彩的会议内容,感受京东安全沙龙之中散发出的浓浓土豪范儿。

早晨8点半左右,小编赶到会场—位于鸟巢附近的亚丁湾商务酒店。秋意微凉,但签到处已经陆续有人到场,寒冷的天气抵挡不住大家对安全技术的热爱和分享的热情。早到的朋友已经几人几人的聚在一起叙旧,会议聚拢的不仅仅是技术,更是人心。

 

会务组的同学们也正在有条不紊的备场中,确认投影仪,PPT等各项细节落实无误。


 

9点半,会场座无虚席,会议正式开始,首先由京东运维部总监吕科进行开场致辞。向大家介绍运维部下安全组的组建过程及发展历程。

 

简短的致辞结束,这次沙龙的重头戏之一开始—-JSRC漏洞提交排行TOP10颁发白帽子优质奖杯。获奖的10位同学分别进行了自我介绍并说出了他们的心声,与台下各位厂商之间加深了了解。吕总随后说道,正是有了白帽子们的持续支持,JSRC才能一路走到现在,和白帽子共同成长,共同提高自身。是JSRC平台上的白帽子们让京东更有“安全感”。颁奖仪式结束后,京东安全经理朱老板还趣谈“奖杯之万用法则”,追妹子可以用,和妹子吵架了可以用,被鄙视时可以用,挨打时也可以用,而小编愚见这奖杯也是砸核桃的利器。

 

京东安全经理朱磊上台发布JSRC平台3.0版本,简要介绍了新版京东漏洞提交处置平台的特点如漏洞处置和监控更加自动化,设计强调扁平化,增强了用户体验,优化了奖励流程,更加贴心,让白帽子和厂商通过JSRC平台能更紧密的联系在一起。

 

接下来由JSRC的团队成员也是JSRC3.0的设计者曹鸣轩上台详细介绍设计过程中的每个细节,由于他也是漏洞响应的一员,所以对于平台的体验和感受肯定最深。经过精雕细琢的JSRC3.0平台更接地气,与应急响应流程衔接的更紧密,每个点都经过了仔细的考量。

 

行文至此,各位看官先跟小编我随现场参会的同学短暂茶歇一下吧,看一集POI马上回来。

 

短暂茶歇过后,由京东安全部门的李学庆介绍《快速漏洞响应处理》,详细的介绍了京东安全从无到有,从有到精的过程,期间经历一波三折,有喜有忧。直到20134月份京东JSRC平台上线,才真正成熟并逐渐稳定起来。

 

第一个安全议题由安全专家汪利辉带来《路由劫持带来的威胁》,基于近期出现的各类路由后门,加之路由Web管理界面的CSRF漏洞,通过自己搭建的DNS服务器演示修改路由器DNS对网页进行劫持,展示此类攻击可造成的危害。

 

下午两点,会议继续,首先由来自当当网的林鹏带来议题《DNS的攻击与防御》,讲述DNS区域传送漏洞,DNS放大攻击等DNS安全技术点,并对其在实际攻击中的危害进行了实例演示,期间发生了一个小插曲,林鹏的另一份PPT在现场“不幸失踪”,寻找未果之后他直接口述PPT中的内容,丝毫没有影响整个议题的质量,小编在这里赞一个。

 

来自一号店的凌云分享议题《广告反欺诈引擎设计》,结合一号店现在的业务,讲述现在电商普遍面临的问题,如账户安全,批发黄牛,广告作弊等,直指电商痛处。并对每一种潜在风险都提出了自己的解决方案。如购买信用度,验证码方案,舆情监控等。议题中凌云介绍了一种雪崩算法,并举例:根据密码错误的次数自动调整认证流程的延时,议题干货很多。

 

来自乐蜂网的杨宁(cnbird)带来议题《安全代码白盒审计系统对逻辑问题的检测》,介绍了很多白盒审计软件,漏洞规则库,及代码审核学习框架,分享了自己在代码审计方面的独到见解和经验,逻辑漏洞自古以来一直是漏洞检测方案的一块顽疾,对此感兴趣的同学可以关注稍后发布的会议PPT

 

会议的最后一个议题,由来自阿里巴巴的“图王” Kj(侯欣杰)带来《防扫号刷库的对抗体系》。扫号撞库应该是各大电商类网站的一个心病,Kj通过技术手段和行政手段分别介绍阿里当前的扫号刷库对抗体系的建设细节,指定了一套技术解决方案能够根据用户的客户端数据计算权重来区分撞库行为和正常认证流程。Kj同学长期以来对各种类型的图片都进行了深入研究,其在机器学习领域的造诣少有人及。

 

演讲议题全部结束之后,又一个重头戏开始,来自瀚海源的方兴,来自谷安天下的李华和汪立辉以及来自安全宝的吴瀚清等几位国内知名的资深安全专家,围坐在台上,共同探讨《电商所面临的诸多挑战》,而问题也进行了一定程度的发散,不乏尖锐的话题,“白帽子提交漏洞需要奖励么?”,“针对未授权的漏洞收购计划有怎样的看法?”。于此同时也就现场参会者的提问进行了耐心解答。

 

以上就是会议的全部正式内容,下面来一起感受下非正式的内容,首当其冲的当然是万众瞩目的抽奖环节,这次会议中一共抽出了8名三等奖,5名二等奖及若干名一等奖,分别奖励2005001000元京东礼品卡一张,至于若干一等奖的原因是吕总应参会者的呼声一再豪爽的增加名额,尽显“土豪”风范,小编也幸运中得一等奖,其中不少参会者更是中得双份。

 

当晚在酒店附近进行了晚宴,晚宴期间,抽奖不停,不过上来领奖可就没那么容易了,少说两杯啤酒,多则三两白酒下肚,情在酒里,奖品当然也得在酒里。

 

这次京东安全沙龙干货很多,虽然最后会放出全部PPT,但一些劲爆内容都是演讲者直接口述的,小编通过这次参会也对电商安全,甲方面对的业务安全有了新的认识,汲取了不少经验,真心希望能够有更多各行业的甲方主办类似的安全沙龙聚拢行业精英共同传道授业解惑。