2012年7月1日，知道創(chuàng)宇第一屆Web安全論壇Kcon在車庫咖啡成功舉辦。本次論壇的嘉賓均是在web安全行業(yè)的領(lǐng)軍人物，多年來長期從事Web安全研究和相關(guān)產(chǎn)品研發(fā)，在安全領(lǐng)域有著極其豐富的經(jīng)驗(yàn)。本次論壇共計(jì)四個(gè)議題，分別為：天融信安全研究中心阿爾法實(shí)驗(yàn)室Xisigr帶來的《瀏覽器魔術(shù)》；知道創(chuàng)宇研究部總監(jiān)余弦?guī)淼摹禞avaScript安全從瀏覽器到服務(wù)端》；清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室副研究員諸葛建偉老師帶來《"blue-lotus團(tuán)隊(duì)defcon 20 ctf資格賽"回顧》以及知道創(chuàng)宇安全研究員hysia帶來的《Web Application Detector - 一種快速識別web應(yīng)用程序的方法》。

 在演講開始，由知道創(chuàng)宇CEO趙偉(IC)和大家分享了我們所提倡的黑客精神：以創(chuàng)新改變世界。

??

[[84062]]

 在《瀏覽器魔術(shù)》議題中，演講者xisigr以一個(gè)驚艷全場的魔術(shù)開場，引出了議題的主題--瀏覽器魔術(shù)。該議題給大家展示了基于瀏覽器的各種欺騙手法，分別是URL地址欄欺騙、URL狀態(tài)欄欺騙、標(biāo)簽欺騙和頁面欺騙四大類，各種欺騙形式讓參會者大開眼界。最后，xisigr以電影《致命魔術(shù)》的一句經(jīng)典臺詞作為結(jié)尾："我們倆都是年輕人，要將自己獻(xiàn)身于偉大事業(yè)的開創(chuàng)， 我們是天生的魔術(shù)師，但我們不會用自己的天賦去傷害任何人。"

??

[[84063]]

第二位出場的是知道創(chuàng)宇的研究部總監(jiān)余弦。他帶來的議題是《JavaScript安全：從瀏覽器到服務(wù)端》，演講者結(jié)合自己多年來web安全研究的經(jīng)驗(yàn)，給大家分享了javascript在瀏覽器端的各種安全應(yīng)用，并介紹了MongoDB和node.js中存在的一些安全問題，讓大家見識到了幾乎無所不能的JS。余弦在PPT中用一句很酷的話表達(dá)了自己的觀點(diǎn)："戰(zhàn)場有多大，我就能玩多大"，web就是余弦的戰(zhàn)場。

??

[[84064]]

這個(gè)議題引起了大家的興趣，很多同行們積極提問，演講者也做了相應(yīng)解答。

接著出場的是清華大學(xué)的諸葛建偉，諸葛老師為大家介紹了Blue-Lotus黑客競賽戰(zhàn)隊(duì)參加Defcon 20 CTF資格賽的經(jīng)歷，讓大家感受到了參加比賽時(shí)那種既緊張有興奮的心情。演講非常精彩，給大家講解了比賽中每道題的解題思路，都是些非常有意思的思路。演講中笑點(diǎn)也很多，現(xiàn)場氣氛很活躍。最后諸葛老師也用一句幽默的話來結(jié)束了此次議題："一黑黑一天，妹紙晾一邊；一黑又一天，黑友共爭先！"

最后，來自知道創(chuàng)宇的安全研究員hysia給大家分享了一種快速識別web應(yīng)用程序的機(jī)制。該議題重點(diǎn)介紹了進(jìn)行web應(yīng)用指紋特征識別的方法和快速篩選識別規(guī)則的技巧，多個(gè)識別策略和技術(shù)細(xì)節(jié)，讓大家收獲良多。最重要的，這種無私的分享精神值得稱贊！

??

[[84065]]

嘉賓簡介：

Xisigr：天融信安全研究中心阿爾法實(shí)驗(yàn)室，國內(nèi)XEYE團(tuán)隊(duì)成員：專注Web安全、Html5安全、瀏覽器安全。

余弦：知道創(chuàng)宇研究部總監(jiān)，長期從事Web安全研究與相關(guān)產(chǎn)品研發(fā)，這些年主要精力在Web Hacking上。XEYE成員。

諸葛建偉博士：清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室副研究員。狩獵女神團(tuán)隊(duì)負(fù)責(zé)人,The Honeynet Project Full Member & Chinese Chapter Leader?！毒W(wǎng)絡(luò)攻防技術(shù)與實(shí)踐》、《Metasploit滲透測試指南》等書籍作者。

Hysia：知道創(chuàng)宇安全研究員，長期從事掃描器開發(fā)和web安全研究，同時(shí)也是個(gè)python控。