由阿里巴巴本地生活SRC主办,安全+承办的“本地生活安全沙龙暨白帽子颁奖典礼”于2020年1月9日在上海四季酒店完美收官,本次颁奖典礼沙龙共有14家媒体受邀进行了全程报导,开启了2020年安全圈盛会的首道篇章。
在本次沙龙中,由主办方邀请的5位安全专家对当下热议的安全话题进行了精彩的分享,吸引了100多位信息安全技术人员和管理者共同参与交流。同时本地生活SRC对2019年度Top8的白帽子进行了颁奖,以此感谢他们对本地生活SRC的支持和贡献。
阿里巴巴本地生活资深副总裁 黄眉通过视频预祝沙龙活动成功举办,并对本地生活SRC平台的白帽子们致谢。同时,黄眉提到,在数据时代,本地生活对白帽子也提出了更宽广的技术能力和技术视野的要求,不仅能够挖掘传统的web漏洞、二进制漏洞、业务逻辑漏洞,也要能够挖掘出大数据时代下的机器学习、人工智能算法相关的漏洞。基于此,黄眉宣布,2021财年本地生活SRC将拿出100万现金奖励预算,为长期同本地生活共同成长的白帽子提供更多元的激励和权益。
开幕致辞
阿里巴巴本地生活资深信息安全专家 晟铭为本次沙龙活动致辞,揭开了活动的序幕。他从OWASP 10近几年的变化以及2019年全球网络安全态势,指出数据泄露日益严峻,不仅威胁到我们的财产安全、企业荣誉,甚至威胁到了我们的生命安全。在大数据时代下,数据安全的使命更值得我们深思和探讨。
议题篇
议题一 阿里经济体生产网威胁检测实战
南浔 / 阿里云高级安全专家
核心数据泄露是生产网面临的主要威胁,阿里云高级安全专家 南浔首先为大家分享了阿里经济体常见的生产网入侵手段,以及对已知和未知威胁的检测和持续运营。
议题二 阿里集团供应链安全
林峻 / 阿里巴巴高级安全专家
第二位分享嘉宾是阿里巴巴集团的高级安全专家 林峻,他所分享的主题是《阿里集团供应链安全》。
我们知道企业安全的一个薄弱环节可能在于合作伙伴和供应商。攻击者通过可访问企业系统和数据的外部合作伙伴或者供应商的信息,潜入企业内部。这一攻击方式,在近几年极大地改变了典型的企业攻击方式,因为能够接触到敏感数据的供应商和服务提供商的数量,也越来也多。因此,供应链攻击带来了前所未有的高风险,企业安全也面临着更严峻的安全危机。
议题三 C#常见的反序列化漏洞
杭毅 / 网商银行安全专家
第三位分享嘉宾是来自网商银行的安全专家 杭毅,他所分享的主题是《C#常见的反序列化漏洞》。
反序列化漏洞分析及防御一直是行业探讨的热点,杭毅在这里为大家分享了C#常见的反序列化漏洞利用及安全配置。
三个议题分享之后,进入本次沙龙的高潮环节。本地生活的资深安全专家晟铭、高级安全专家风良,为受邀前来的2019年度Top8的白帽子们一一颁发了荣誉奖杯和现金奖励。
在此要恭祝月神斩获2019年本地生活SRC白帽状元。月神在第四季度异军突起,发现多个高质量漏洞,成为当之无愧的王者,并获得50000元现金奖励。yds和憋屈分别位居年度第二和第三名,各获得30000元和20000元的现金奖励。其余优秀白帽也荣获本地生活SRC所颁发的相应奖励。以下为本年度排名顺序。
(1. 月神、2.yds、3.憋屈、4.D、5.Adam、6.Dr.Thril、7.瘦蛟舞、8.此间少年)
议题四 本地生活业务场景信息安全体系建设
风良 / 本地生活高级安全专家
第四位分享嘉宾是来自本地生活的高级安全专家 风良,他所分享的主题是《本地生活业务场景信息安全体系建设》。
本地生活目前涵盖了饿了么、口碑、蜂鸟即配、客如云四大业务板块,是一个线上线下高度一体化的业务,复杂的业务形态下,公司面临的安全风险也更严峻。因此,本地生活不断完善信息安全体系建设,提升自身的纵深防御能力。
议题五 业务逻辑扫描器
早起晚睡的龙老师 / 网商银行高级安全工程师
现有的Web应用漏洞扫描工具大多只能对非业务逻辑如SQL注入等常见漏洞进行检测,业务逻辑漏洞只能靠人工检测,准确率较高但是效率极其低下。网商银行的高级安全工程师 早起晚睡的龙老师,从接口标记、清洗、匹配、检测四个方面为大家详细介绍了业务逻辑扫描器。
阿里巴巴本地生活真诚感谢早起晚睡的龙老师所带来的分享,为本次沙龙分享环节划上一个圆满的句号。
在沙龙最后,阿里巴巴本地生活还为与会嘉宾提供了精美的奖品,2份价值2000元的Beats耳机,真心羡慕本次沙龙的参与嘉宾,既能收获知识,又能领到礼品!
议题篇
在诸多与会嘉宾的合影中,本地生活安全沙龙暨白帽子颁奖典礼圆满落下帷幕,阿里巴巴本地生活SRC特此感谢所有支持本次沙龙的白帽子们,众多企业的SRC,新闻媒体,讲师与参会嘉宾,以及承办方“安全+”的鼎力支持。本地生活SRC愿有更多白帽崭露头角,为安全建设添砖加瓦,明年,我们再见!
本文作者:PIG-Z
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/121913.html