事件详情

下午两点,会议正式开始,朱老板发表了短暂开幕讲话之后,第一个议题由来自京东安全第一人的李学庆带来《京东安全知识体系建设》,作为京东第一位安全方面的员工,这几年的实践使他对公司的安全建设有着自己独到的见解和心得。通过Struts代码执行和Tomcat file upload组件漏洞等实例,分享了京东JSRC安全体系建设和SDL方面的经验,以及京东基础安全平台“菊花台”的建设过程,菊花台这名字起的好。

第二个议题由安全宝安全研究负责人尹毅(Seay)带来《移动APP背后的安全问题》。讲到了当前移动安全研究相对滞后,专业领域的研究人员较少的现状。介绍了如何反编译APP并在源码中寻找隐藏的URLAPI接口等资产信息,以及如何通过Burp Suite知名渗透测试套件抓包对APP的服务端进行漏洞检测。而自动化的检测利用也正在其研究过程之中。94年的Seay已经是安全宝的安全研究负责人了,年轻有为,小编有种被拍在沙滩上的感觉。

 

短暂茶歇过后,沙龙间歇,土豪京东必不可少的抽奖环节开始,现场热闹非凡,大家的获奖感言已然成了推广自家安全应急响应中心和给自家招人的软广告,不过JSRC作为主办方很欢迎这样的方式去让安全从业人员之间了解彼此,了解其他厂商在安全方面所做的成果。

 

抽奖环节过后,嘉宾演讲继续。由当当网的rootsecurity带来议题《浅谈企业安全应急响应》,介绍了当当网当前的一些企业安全系统架构,如针对IP流量分析的IDS入侵检测系统,针对HTTP流量的Hadoop日志分析以及OSSEC+analog平台的部署过程。当当网的日志分析系统由elasticsearch+logstash+kibana搭建,整个议题技术干货很多,由于兴趣点比较对口,小编也听的津津有味,rootsecurity同时也分享了自己给其他厂商挖掘漏洞的经验。

接下来去哪儿网的宁志斌带来议题《QWSTF基于浏览器扩展的Web弱点识别》。这是一个比较新颖的话题,通过将一些Web安全检测能力融合到Chrome等浏览器的插件中,提供给开发和运维人员使用,能够让他们更方便的在日常工作中检测出潜在的风险,同时也能够一定程度的减轻安全人员的工作任务,可谓一举两得。

很萌的一位90后小伙


沙龙最后的压轴议题是由百度安全中心的吴登辉带来《百度自动化安全保障体系及运维经验》,介绍了百度跨机器,跨平台,跨语言的分布式漏洞扫描平台部署流程,能够调整扫描任务优先级,可以迅速对扫描集群扩展,同时保证其稳定性,在崩溃,宕机后任务不丢失,实现多机热备。