2015年7月17日，著名漏洞平臺(tái)烏云網(wǎng)與臺(tái)灣著名黑客大會(huì) HITCON聯(lián)合舉辦的烏云第二屆“白帽子大會(huì)”正式在北京富力萬力酒店3層首府宴會(huì)廳召開。

今晨，北京的雨已經(jīng)下了一夜，并且降雨逐漸加大，多處積水。但這并沒有阻止各路安全人士，各方安全大牛參會(huì)的腳步，影響他們的參會(huì)的熱情。

烏云吹響集結(jié)號(hào)，你聽說過的和即將聽說的白帽子們，都在這里出現(xiàn)~

[[141019]]

外星人驚現(xiàn)會(huì)場(chǎng)~

書擺的很有藝術(shù)感，書的內(nèi)容是參會(huì)人員的最愛~

思科安全展臺(tái)~

IBM安全展臺(tái)~

[[141020]]

避免有給廠商打廣告的嫌疑，小編還是從花絮轉(zhuǎn)入正題，說說今天白帽子大會(huì)上的那些人，那些干貨與經(jīng)驗(yàn)。#p#

企業(yè)安全建設(shè)

企業(yè)安全部門從無到有、從最初的組建到組織架構(gòu)趨于完善，這期間所要經(jīng)歷的并非我們想象中那般容易。在此次大會(huì)，來自去哪兒和唯品會(huì)的兩位安全專家講述了他們的親身經(jīng)歷，與大家分享了關(guān)于企業(yè)安全建設(shè)的經(jīng)驗(yàn)。

去哪兒安全總監(jiān)郭添森——《去哪兒安全——從0到1》 

[[141021]]

郭添森：一位低調(diào)的黑客大牛，曾在藝龍網(wǎng)工作有近十年，在藝龍網(wǎng)的時(shí)候主要是在做一些運(yùn)維還有安全方面的事情。四年前加入去哪兒，現(xiàn)任去哪兒安全總監(jiān)。

郭添森主要分享了去哪兒從零開始建設(shè)安全體系的歷程，與大家分享了如何建立安全團(tuán)隊(duì)威信，如何平衡業(yè)務(wù)和安全方面的經(jīng)驗(yàn)。郭添森將公司的安全建設(shè)分為三個(gè)階段：

第一階段：去哪兒成立的第1年，主要工作就是熟悉環(huán)境并擔(dān)任“滅火隊(duì)”的角色為公司消除安全威脅，著手建立安全標(biāo)準(zhǔn)。面對(duì)千級(jí)別的網(wǎng)絡(luò)設(shè)備，未隔離的辦公網(wǎng)無ACL的生產(chǎn)網(wǎng)，采取做VLAN隔離，只出不進(jìn);設(shè)置ACL，只開http/https端口，由nginx為web服務(wù)統(tǒng)一做反向代理，并且nginx配置走變更流程。同時(shí)，對(duì)VPN實(shí)現(xiàn)雙因素認(rèn)證。

第二階段：去哪兒成立的第2-3年，主要完善了公司的制度流程、技術(shù)標(biāo)準(zhǔn)，以及SOX404、PCIDSS等合規(guī)性的遵從，建立自動(dòng)化系統(tǒng)、確保安全規(guī)劃能落地執(zhí)行。此階段主要解決操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)應(yīng)用、WEB應(yīng)用層面的問題。

第三階段：去哪兒成立第4年以后，主要注重?cái)?shù)據(jù)與業(yè)務(wù)的安全，對(duì)用戶隱私、交易數(shù)據(jù)、產(chǎn)品技術(shù)文檔、源碼等重要數(shù)據(jù)進(jìn)行加密、清洗和打碼，保證業(yè)務(wù)與安全的平衡。

另外，他表示建立安全威信，需要專業(yè)技能、人格魅力、職權(quán)保障領(lǐng)導(dǎo)力。專業(yè)技能、權(quán)衡ROI、插入關(guān)鍵流程是建立安全微信的重要組成部分。

唯品會(huì)高級(jí)工程師王潤(rùn)輝——《唯品會(huì)安全建設(shè)與風(fēng)控雜談》

[[141022]]

王潤(rùn)輝：一位經(jīng)驗(yàn)豐富，酷酷的安全專家，現(xiàn)任唯品會(huì)高級(jí)工程師。

據(jù)王潤(rùn)輝介紹說，唯品會(huì)公司做安全只有兩年多，從最初的3個(gè)人發(fā)展到今年7月的35人，并計(jì)劃于今年年底發(fā)展到50人以上。安全團(tuán)隊(duì)包括：監(jiān)控與響應(yīng)、內(nèi)部產(chǎn)品安全、外部產(chǎn)品安全、安全培訓(xùn)。

王潤(rùn)輝認(rèn)為，電商風(fēng)控是通過技術(shù)手段對(duì)惡意行為的控制和識(shí)別，保護(hù)網(wǎng)站正常運(yùn)營(yíng)和提供賬戶安全保護(hù)。電商為什么要做風(fēng)控?因?yàn)閽咛?hào)撞庫、資金安全、用戶信息、刷單、惡意攻擊……每天都要面臨很多問題。要解決上述問題，可以從層級(jí)防御、需求風(fēng)控介入進(jìn)行風(fēng)險(xiǎn)控制、風(fēng)控平臺(tái)支持、風(fēng)控運(yùn)營(yíng)(站在第一線)等措施加強(qiáng)風(fēng)險(xiǎn)控制。

經(jīng)過兩年多的努力，唯品會(huì)官網(wǎng)從滿站漏洞轉(zhuǎn)變?yōu)橄鄬?duì)安全，其中一個(gè)有趣的變化是，風(fēng)控等安全相關(guān)工作直接影響到黑市對(duì)數(shù)據(jù)定價(jià)，從最初的3元一條，一路上升到14元，這說明黑客獲取唯品會(huì)的數(shù)據(jù)難度越來越高了，導(dǎo)致騙子購(gòu)買數(shù)據(jù)的成本在提升。

烏云白帽子Piaca——《企業(yè)應(yīng)急響應(yīng)與反滲透之真實(shí)案例分析》

[[141023]]

Piaca：一位八年安全從業(yè)經(jīng)驗(yàn)的大拿，他是烏云的白帽子，在新浪從事多年的安全工作，是安全組織Insight-Labs 成員。

會(huì)上，Piaca主要分享了兩部分內(nèi)容：一是個(gè)人對(duì)于應(yīng)急響應(yīng)的理解，二是對(duì)處理過的案例所做的分析。

什么是應(yīng)急響應(yīng)?其實(shí)就是對(duì)于突發(fā)的安全事件進(jìn)行處理，這才是應(yīng)急響應(yīng)。那么什么時(shí)候做應(yīng)急響應(yīng)?其實(shí)就是企業(yè)業(yè)務(wù)出現(xiàn)被黑的情況?，F(xiàn)在很多企業(yè)做應(yīng)急響應(yīng)的建設(shè)工作，為什么做應(yīng)急響應(yīng)?Piaca認(rèn)為，主要為了保障業(yè)務(wù)正常運(yùn)行、還原攻擊、明確攻擊意圖、提出解決方案、查漏補(bǔ)缺以及是否采取走司法途徑。

Piaca表示，從業(yè)務(wù)手段做應(yīng)急響應(yīng)，首先保證我們的業(yè)務(wù)能夠盡快恢復(fù)正常，這是我們做應(yīng)急響應(yīng)的一個(gè)基礎(chǔ)。我們需要更多的了解對(duì)手，對(duì)手能力是怎樣的?他可以做哪些攻擊的事情，我們對(duì)于他有了解，做應(yīng)急響應(yīng)時(shí)候更容易做。從技術(shù)角度我們要更多了解攻擊技術(shù)，因?yàn)槲覀冎挥辛私夤羰址ú拍茏龈玫姆烙?，我們還要依賴于大量日志和流量數(shù)據(jù)。其實(shí)我覺得更多還是需要完善我們防御系統(tǒng)，幫助我們?nèi)ジ玫淖鰬?yīng)急響應(yīng)。#p#

web安全

烏云白帽子MayIKissYou——《多角度對(duì)抗WAF的思路與實(shí)例》

[[141024]]

MayIKissYou：一個(gè)幽默帥氣的的男孩，現(xiàn)任完美世界高級(jí)安全工程師。

用戶從瀏覽器發(fā)出一個(gè)請(qǐng)求到最終請(qǐng)求轉(zhuǎn)發(fā)到服務(wù)器上，中間經(jīng)歷了多少設(shè)備。這些工作在網(wǎng)絡(luò)中第幾層(TCP/IP)，這些應(yīng)用層的數(shù)據(jù)被哪些設(shè)備處理了?這是一個(gè)典型的數(shù)通問題，了解WAF在網(wǎng)絡(luò)空間的位置，我們便可以更清楚的知道使用哪些知識(shí)來協(xié)助我們進(jìn)行WAF Bypass。

在MayIKissYou看來，Bypass WAF實(shí)際上是去尋找位于WAF設(shè)備之后處理應(yīng)用層數(shù)據(jù)包的硬件或軟件的特性，利用特性構(gòu)造WAF不能命中，但是在應(yīng)用程序能夠執(zhí)行成功的載荷，繞過防護(hù)。那些特性就像是一個(gè)個(gè)特定的場(chǎng)景一樣，一些是已經(jīng)被研究人員發(fā)現(xiàn)的，一些是還沒有被發(fā)現(xiàn)，等待被研究人員發(fā)現(xiàn)的，當(dāng)我們的程序滿足了這一個(gè)個(gè)的場(chǎng)景。倘若WAF沒有考慮到這些場(chǎng)景，我們就可以利用這些特性Bypass掉WAF了。

在一個(gè)個(gè)WAF Bypass 實(shí)例展示之后，他這樣總結(jié)道：“隨著一個(gè)個(gè)特性的發(fā)現(xiàn)，WAF的防護(hù)能力在web對(duì)抗中逐漸增強(qiáng)。在我看來，當(dāng)所有的特性場(chǎng)景均被WAF考慮到的時(shí)候，勢(shì)必就會(huì)有新的發(fā)現(xiàn)。因此，我們不用擔(dān)心當(dāng)所有的特性被WAF考慮到的時(shí)候我們無計(jì)可施，未知的特性那么多，我們還有很多地方可以挖掘。留意WAF自身的點(diǎn)點(diǎn)滴滴，特有的功能可能是你Bypass的利器。”

騰訊安全架構(gòu)師張海清——《騰訊web安全的建設(shè)》

[[141025]]

張海清：一位經(jīng)驗(yàn)豐富，酷酷的安全專家，現(xiàn)任騰訊安全架構(gòu)師。

MayIKissYou講的是WAF的繞過，而張海清講的是WAF的防御，主要內(nèi)容為web安全與掃描器。他認(rèn)為，Web安全在應(yīng)用的周期里面是貫穿于其中，比如開發(fā)、測(cè)試、上線，在開發(fā)階段，要避免有Web漏洞，需要對(duì)開放人員做一些安全培訓(xùn)，比如新員工入職，有一個(gè)安全培訓(xùn)，有一些公司級(jí)的安全規(guī)范，還有一些日常的安全教育工作。

張海清表示，騰訊有數(shù)萬臺(tái)的Web服務(wù)器，Web服務(wù)器種類達(dá)數(shù)十種，流量達(dá)到3GBps，網(wǎng)絡(luò)環(huán)境非常復(fù)雜，這種情況會(huì)選什么WAF方案?其實(shí)是多種并存的，本機(jī)服務(wù)器模塊模式、反向代理模式、硬件防護(hù)等業(yè)界常用的方案騰訊都有而且是并存的。唯一一個(gè)不同的地方是在WebServer里，硬件端直接加入了WAF的檢測(cè)，WAF在云端就是一個(gè)WAF集群在做檢測(cè)。

另外，對(duì)于web安全掃描器的特性，他認(rèn)為需要有四點(diǎn)：

掃描程序架構(gòu)：全異步事件驅(qū)動(dòng)+協(xié)程;

規(guī)則：檢測(cè)邏輯、配置;lua;實(shí)時(shí)更新;

任務(wù)調(diào)度系統(tǒng)：任務(wù)優(yōu)先級(jí)、多任務(wù)類型、任務(wù)出錯(cuò)重試、超時(shí)。

爬蟲：webkit后臺(tái)server，與調(diào)度系統(tǒng)結(jié)合。#p#

金融安全

萬達(dá)電商安全主任工程師林鵬——《解析P2P金融安全》

林鵬：一個(gè)有六年從業(yè)經(jīng)驗(yàn)并且長(zhǎng)期參與一線建設(shè)的安全牛人，現(xiàn)任萬達(dá)電商安全主任工程師。

無論是傳統(tǒng)還是網(wǎng)絡(luò)，金融的核心永遠(yuǎn)是資金融通。近幾年，互聯(lián)網(wǎng)金融發(fā)展如火如荼，但是隨之而來的安全與風(fēng)險(xiǎn)問題不容忽視。

據(jù)悉，NSTRT安全團(tuán)隊(duì)收集了在2014年互聯(lián)網(wǎng)金融行業(yè)中134份安全漏洞報(bào)告，來自業(yè)務(wù)設(shè)計(jì)缺陷的漏洞占主要比例，達(dá)到27%。林鵬表示，所謂互聯(lián)網(wǎng)金融的安全風(fēng)險(xiǎn)，就等于互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)加上金融的安全風(fēng)險(xiǎn)。他從注冊(cè)、綁卡、充值、購(gòu)買理財(cái)、回收資金這整個(gè)P2P流程進(jìn)行分析，并針對(duì)每一個(gè)流程中的安全風(fēng)險(xiǎn)問題提出應(yīng)對(duì)方法。

注冊(cè)階段：主要是銀行與羊毛黨，羊毛黨與平臺(tái)間的內(nèi)外勾結(jié)。對(duì)應(yīng)的解決方法最主要是從業(yè)務(wù)角度防套利，不能讓人“空手套白狼”;防止被平臺(tái)反擼;減少收益，提高收益門檻;人工識(shí)別;機(jī)器識(shí)別;大數(shù)據(jù)應(yīng)用。

綁卡階段：驗(yàn)證姓名與身份證號(hào)，即是利用公安部接口校驗(yàn)身份證信息。然后綁卡，這時(shí)候會(huì)出現(xiàn)綁卡與人不對(duì)應(yīng)情況，因?yàn)橹袊?guó)同名同姓的人太多了，這時(shí)就有些人可以繞過去。還出現(xiàn)可能名字身份證是一個(gè)人，或者是不同人，但是他們都是用這個(gè)人的名字綁的銀行卡。為了規(guī)避風(fēng)險(xiǎn)，最好采取四要素認(rèn)證，即是身份證、銀行預(yù)留手機(jī)、姓名以及銀行卡號(hào)，并實(shí)現(xiàn)小額打款驗(yàn)證。

充值與回收資金階段：這兩個(gè)階段容易出現(xiàn)支付漏洞、同卡進(jìn)出、資金閉環(huán)以及對(duì)賬系統(tǒng)問題。而在購(gòu)買理財(cái)階段應(yīng)特別注意身份驗(yàn)證問題。#p#

安全攻防戰(zhàn)

不知攻焉知防，知己知彼方能百戰(zhàn)不殆。會(huì)上，江蘇省公安廳網(wǎng)安總隊(duì)科長(zhǎng)童瀛通過網(wǎng)絡(luò)犯罪案例介紹了DDoS攻擊的方式方法;上海交大在讀博士GoSSIP_SJTU分享了他對(duì)安卓APP通用自動(dòng)脫殼方法的研究成果;烏云白帽子boooooom帶來了關(guān)于《如何從外圍進(jìn)入各大公司內(nèi)網(wǎng)》的議題。

江蘇省公安廳網(wǎng)安總隊(duì)科長(zhǎng)童瀛——《從案件看國(guó)內(nèi)DDoS的最新方式》

童瀛：一位幽默風(fēng)趣的網(wǎng)警，現(xiàn)任江蘇省公安廳網(wǎng)安總隊(duì)科長(zhǎng)。

演講中，特意沒穿警服的童瀛，以幽默風(fēng)趣的演講帶大家了解了什么是網(wǎng)絡(luò)犯罪的克星——網(wǎng)警，網(wǎng)警的職責(zé)定位以及網(wǎng)絡(luò)犯罪的分類，并通過一系列網(wǎng)絡(luò)安全案件分析了DDoS近年來發(fā)展的趨勢(shì)、攻擊手段等。童瀛表示，網(wǎng)警的主要工作就是網(wǎng)絡(luò)案件的偵破以及計(jì)算機(jī)性的監(jiān)測(cè)。目前，50%的在線游戲公司、70%的商業(yè)公司、80%的政府機(jī)構(gòu)都遭受過DDoS攻擊。而UDP和SYM攻擊仍舊是其主要的攻擊方式，主要攻擊類型為NTP-FLOOD/SYN-FLOOD/UDP-FLOOD. 而與此同時(shí)，手機(jī)等智能設(shè)備已經(jīng)淪為DDoS攻擊的工具，為網(wǎng)絡(luò)犯罪提供了新方式。你能想象微信紅包可以被用來賭博么?利用微信數(shù)的后兩位即可實(shí)現(xiàn)。

童瀛認(rèn)為，應(yīng)對(duì)DDoS最好的方法就是報(bào)警!呼吁大家在遇到攻擊時(shí)，要及時(shí)報(bào)警，以免遭受損失。

烏云白帽子GoSSIP_SJTU——《Android應(yīng)用程序通用自動(dòng)脫殼方法研究》

GoSSIP_SJTU：一位上海交大在讀博士，上海交通大學(xué)網(wǎng)絡(luò)信息安全協(xié)會(huì)(0ops)戰(zhàn)隊(duì)成員。

GoSSIP_SJTU的演講內(nèi)容非常專業(yè)，他主要介紹了安卓加殼如何從基礎(chǔ)到強(qiáng)化，為什么要脫殼，脫殼會(huì)帶來的影響，加固程序的特點(diǎn)以及通用自動(dòng)化脫殼技術(shù)。他表示，Android加殼防護(hù)解決方案從無到有到發(fā)展至今已至非常高級(jí)的階段，但盡管如此，仍舊不能逃脫被攻破的命運(yùn)。再?gòu)?qiáng)的加殼技術(shù)還是能被反編譯破解，目前市面上幾乎所有的加殼方案都能被脫殼。

烏云白帽子boooooom——《如何從外圍進(jìn)入各大公司內(nèi)網(wǎng)》

[[141026]]

boooooom：一位吐字清晰語速驚人的小伙，工作前三年在北京最有錢的互聯(lián)網(wǎng)公司做企業(yè)安全，現(xiàn)在做安全檢測(cè)相關(guān)的產(chǎn)品。

從外圍進(jìn)入各大公司內(nèi)網(wǎng)，首先為什么進(jìn)入內(nèi)網(wǎng)。站在攻擊者的角度想，攻擊它的核心目標(biāo)是什么?一定是數(shù)據(jù)，一定有他想獲取的數(shù)據(jù)。boooooom認(rèn)為，一切不以數(shù)據(jù)為攻擊的目的都是扯淡的。一旦進(jìn)入內(nèi)網(wǎng)以后，本身所有的企業(yè)做防護(hù)的時(shí)候他更關(guān)注我們這些業(yè)務(wù)對(duì)外開放以后，對(duì)于安全的關(guān)注度更高。反而內(nèi)部的關(guān)注度更低就是內(nèi)網(wǎng)的脆弱性，一旦進(jìn)入內(nèi)網(wǎng)很多數(shù)據(jù)可以輕易獲取。

緊接著他介紹到從外圍進(jìn)入內(nèi)網(wǎng)的各種手段，包括合法入口(和員工一起進(jìn)內(nèi)網(wǎng))和非法入口(跨邊界的資產(chǎn))。

合法入口主要包含：VPN(用戶名及密碼大數(shù)據(jù))、mail(用戶名及密碼大數(shù)據(jù))、第三方wifi分享密碼(萬能鑰匙)。

非法入口主要包含：應(yīng)用(各種漏洞、弱點(diǎn)GETSHELL)、服務(wù)(坑爹配置GETSHELL)以及員工PC(釣魚、種馬)等。

為何公司內(nèi)網(wǎng)會(huì)不堪一擊?boooooom表示，與小公司過招講求效率，與大公司過招取其命門。大公司的命門在于邊界，所謂成也邊界，敗也邊界。因?yàn)镺A/WWW/IDC區(qū)域性防守，所以會(huì)有邊界。那么邊界防御如何做?首先是邊界的劃分，其次是規(guī)范的制定，然后是合規(guī)檢查。但是規(guī)范越多，執(zhí)行就越差，而且合規(guī)性檢查存在盲區(qū)(弱點(diǎn)、備份文件)。