随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。
3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无恒实验室、京东集团蓝军、小米集团智能终端安全实验室、字节SRC核心白帽4位安全专家,将带来安全左移建设实践、大语言模型安全攻防、安全工具、智能网联汽车安全等议题。力求多角度为大家分享漏洞攻防相关的干货技术,助力企业安全水位提升,为白帽师傅挖掘漏洞提供更多思路和方法。(PS : 文末有抽奖)
本期沙龙亮点抢先知
智能网联汽车的漏洞挖掘实战
安全左移在字节的落地实践
大语言模型攻防红队如何以攻促防
漏洞精准发现之扫描器的简易实现
让我们一起看看这四个实战议题详情吧~
智能网联汽车的渗透与防御
随着智能网联汽车的广泛普及,整车安全也逐渐得到更高的重视,如何发现新的攻击点,更好的保障智能网联汽车安全是整车的重点工作之一,本次议题将从攻击者视角来详细介绍挖掘车辆漏洞方法,包括不限整车架构攻击面,供应链安全渗透测试方法,漏洞挖掘的思路以及部分漏洞细节讲述并描述如何高效分析。
陈迎澳,小米集团技术委员会-高级安全工程师
ChaMd5 Car负责人,目前主要从事手机、车联网、IoT的安全研究,曾多次在Geekpwn、车联网比赛中获奖。
字节跳动 SAST 安全左移建设实践
IDE安全插件是一个集成在开发环境中的漏洞扫描工具,它协助开发人员在编码阶段及时发现并修复安全漏洞。本次议题主要介绍IDE安全插件在字节跳动安全左移建设实践,介绍如何将逻辑漏洞检测等能力落地 IDE 安全插件,以及如何利用数据驱动构建产品运营体系,最后我们将分享在 LLM 大模型与IDE安全插件结合的的一些探索与实践,一起探讨 LLM 大模型在安全左移上的更多应用场景。
梁锦煌,字节跳动无恒实验室安全研究员
从事和专注于静态代码扫描,负责 SAST 安全左移产品建设、流程设计、数据分析等相关工作。
大语言模型prompt攻防
大语言模型在去年已经充分证明了它的发展潜力,今年随着大语言模型应用的落地,大语言模型应用的安全问题也成了各个业务方以及监管方所关注的重点,在本议题中,将聚焦在大语言模型应用与用户交互最多的prompt方向,深入探讨大语言模型prompt相关的攻防,以及蓝军在企业中如何以攻促防,帮助业务提高prompt防护能力。
knight,京东集团蓝军-安全攻防工程师
在京东从事AI蓝军方向,主要工作聚焦在大语言模型安全以及大语言模型赋能安全。
玩转扫描器引擎
扫描器是安全人必知必会的安全工具,通过开发一系列漏洞POC实现漏洞扫描功能。除了以Python一类的编程语言开发POC外,当下开源社区最火热的扫描器nuclei采用了YAML开发POC,以接近人类语义的模板键值对描述需要实现的漏洞扫描逻辑。YAML并非图灵完备语言,为何能实现复杂的漏扫功能?本议题深入对比讨论一系列使用编程语言、标记语言开发POC的扫描器,介绍其中的POC设计思路演变和扫描引擎的开发过程。
lalalashenle,字节SRC核心白帽,暨南大学网安硕士
从事安全产品研发相关工作,暨南大学网安硕士,研究课题为区块链众包以及入侵检测系统,TimelineSec团队漏洞研究组成员。
沙龙预约/报名,看这里
3月22日14点,火山直播
第13期字节跳动“安全范儿”沙龙见!
扫码预约直播
即可参与字节跳动12周年定制T恤抽奖
互动有奖
转发文章即可参与抽奖,安全范儿定制背包
沙龙主办方
合作伙伴