基于图算法的设备维度评分
肖景芬
唯品会
信息安全工程师
议题简介:
用户信誉评分这个话题已经是老生常谈了,但是用户信誉评分只是一个账号的维度的评分,用户评分不应仅仅止于账号维度的评分。
我们还需要设备维度的评分,因为我们需要对用户有"静态"和"动态"的评分。用户行为的评分是"动态"评分,那设备维度评分就是"静态"评分。
本次分享给大家带来我们在设备维度评分的实践之路。
广告业务域攻击手法剖析
柳兮
阿里安全-归零实验室
资深安全工程师
议题简介:
广告业务作为公司的重要收益来源之一,一直饱受虚假流量、内容安全、媒体质量等多方面的业务安全风险,
其随着视频网站相关行业、网络自制剧、自频道等生态的蓬勃发展,这些现象越来越常见,并形成了一个完整灰色的产业链。
本议题将从业务蓝军视角出发,为你一步步揭开这些现象背后的故事和攻防对抗。
甲方的代码审计系统建设
赵乾
汽车之家
高级安全开发工程师
议题简介:
代码安全审计一直是甲方安全较为重要的一环,那么甲方应该如何搭建自己的代码审计系统呢?这里我会对商业与开源、SDLC与代码审计系统进对比,结合企业内的CI/CD系统来开发搭建甲方的代码审计系统。
企业安全防护与大数据实践
糖果
新浪网
高级开发工程师
议题简介:
企业构建威胁防御系统是一种基础性的工作,通过什么样的系统架构和数据流程处理,让威胁数据分析与威胁风险识别更高效,成为了一个课题。
如何面对企业内部系统结构的复杂性处理,如何使用业界通用工具,同时采用前沿的大数据解决方案,让我们面对威胁攻击行为与纷至沓来的情报信息源时,可以行之
有效的去伪存真,把握关键重点,给企业监控系统装上鼻子,嗅探到威胁的存在。给系统装上眼睛,甄别出真正的关键威胁,形成了构建威胁防御系统的重要指标,我们通过
将威胁系统与大数据平台的结合,发现了一条可以实践的路。
安全情报与用户画像
段枝宏
58同城
安全资深工程师
议题简介:
威胁情报系统是一个分析型安全防控管理系统,可基于风控平台实现统一的信息安全风控管理,帮助业务方实现事前的情报预警,事中的风险识别,事后的案件追溯,并与外部资源有效互补,最终帮助业务线实现精准风险打击和智慧运营的效果。
模板注入与flask
Dayeh
小米安全
安全工程师
议题简介:
相比于广泛谈论的XSS,SQL注入,模板注入(SSTI)相对关注较少。模板注入的概念最早由James Kettle于2015年提出。该攻击方式利用web模版引擎实现代码的注入,从而引起远程代码执行。虽然模板引擎会提供沙箱机制来进行防御,但是攻击者依然可以利用一些手段绕开。而模板注入能玩到多厉害的程度,一定程度上也取决于模板引擎有多厉害。这次议题主要结合jinja2模板分享一下模板注入的原理和攻击的例子以及一些绕开方法。
周一
活动项
演讲嘉宾
12:30-13:30
签到
13:30-13:35
开场介绍
13:35-14:05
基于图算法的设备维度评分
唯品会—肖景芬
14:05-14:35
广告业务域攻击手法剖析
阿里安全—柳兮
14:35-15:05
甲方的代码审计系统建设
汽车之家—赵乾
15:05-15:30
茶歇交流
15:30-16:00
企业安全防护与大数据实践
新浪网—糖果
16:00-16:30
安全情报与用户画像
58同城—段枝宏
16:30-17:00
模板注入与flask
小米安全-Dayeh
全体合影留念
记得来签到、发礼物!
是的,发礼物,就是这么任性!~
2018年7月14日13:00
北京望京凯悦酒店
二层悦府1会议厅(望京soho正对面)
我们不见不散!
——唯品会安全应急响应中心
交通出行小贴士
1、土豪路线:
开车导航“北京望京凯悦酒店”(切记是望京soho对面的凯悦酒店,具体地址:朝阳区广顺南大街8号)地下停车场,提供少量停车券,先到先得,找签到小姐姐领取。
2、绿色出行:
地铁14号线东段阜通站下车,c东南口出,步行543米,约8分钟,右手边直梯上二楼悦府1会议厅。
报名截止日期:2018/7/12 周四 中午12:00
限额:50人
注:超过报名截止日期的报名名单将不予审核通过
1、本活动具体服务及内容由主办方【fisher】提供,活动行仅提供票务技术支持,请仔细阅读活动内容后参与。
2、如在活动参与过程中遇到问题或纠纷,双方应友好协商沟通,也可联络活动行进行协助。