November 03, 2011
OWASP 2011 亚洲峰会
下周OWASP峰会,这次好了,就在公司楼下了。晃晃去,接着给刺、余弦他们捧场去。
作为全球顶级的Web应用安全组织,OWASP(Open Web Application Security Project)中国将于11月8日-9日在北京举办OWASP 2011亚洲峰会,本次大会特意邀请政府、金融、互联网、教育、电信、能源等热门行业的CIO代表,国内外知名的应用安全专家、厂商代表共聚一堂,将以“互联网安全新思维”为主题,将从“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。
时 间:2011年11月8日-11月9日 OWASP亚洲峰会+安全产品展
2011年11月10日-11月11日 安全培训
地 点:北京国际会议中心(北京市朝阳区北辰东路8号)
Welcome to OWASP:
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。OWASP在业界影响力:
-
OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则
-
国际信用卡数据安全技术PCI标准更将其列为必要组件
-
为美国国防信息系统局(DISA)应用安全和开发清单参考
-
为欧洲网络与信息安全局(ENISA), 云计算风险评估参考
-
为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南
-
为美国国家安全局/中央安全局, 可管理的网络计划提供参考
-
为英国GovCERTUK提供SQL注入参考
-
为欧洲网络与信息安全局(ENISA), 云计算风险评估提供参考
- OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准
峰会议程
| 议程 | 议题 | 嘉宾 | |
| 致欢迎辞 | 8:00-9:00 | 会议签到 | |
| 9:00-9:15 | 致开幕辞、OWASP中国发展 | Rip | |
| 9:15-9:30 | Sebastien Deleersnyder | Owasp全球 | |
| 2011年11月8日 | 9:30-9:50 | 云计算环境下的隐蔽信道分析 | 丁丽萍 中科院 |
| 9:50-10:30 | 乌云中的一线光明:云计算安全概览 | Manoranjan Paul | |
| 10:30-11:00 | Web安全的今天和明天 | Frank | |
| 11:00-11:30 | WAFs: Patch first, ask questions later. | Jonathan Werrett | |
| 11:30-12:00 | 流行应用的加密算法实现缺陷与利用 | 吴翰清 | |
| 12:00-14:30 | 午餐&午休&展览 | ||
| 14:30-15:10 | 实现安全开发生命周期的基本方法与工具 | Cassio Goldschmidt | |
| 15:10-15:40 | Web2.0 Secure Development Practice | 夏玉明 | |
| 15:40-16:10 | 金融业web应用的SSO(单点登录)架构设计与用例 | Marco M. Morana,张炜 | |
| 16:10-16:40 | 安全即服务 | 刘晨曦 | |
| 16:40-17:10 | Hacking 2011:Lesson for 2012 | Noa Bar Yosef | |
| 17:10-18:00 | 互联网安全产品展览 | ||
| 2011年11月9日 | 8:00-9:00 | 会议签到 | |
| 9:00-9:30 | XSS检测防范技术与实例研究 | 王文君 | |
| 9:30-10:00 | 数据控制:通过漏洞管理方式,提高数据库安全 | Larry Man | |
| 10:00-10:30 | 通过遗传网络编码加强云应用安全 | Daniel Ng | |
| 10:30-11:00 | 应用安全标准ISO/IEC 27034概述 | Dr. Meng-Chow Kang | |
| 11:00-11:30 | 安全C函数 - 预防缓冲区的简洁解决方案 | 李建蒙 | |
| 11:30-12:00 | RFID Security | 胡浪宇 | |
| 12:00-15:00 | 午餐&午休&展览 | ||
| 15:00-15:30 | 网站安全风水图 | 钟晨鸣 | |
| 15:30-16:00 | 2011应用安全0-day漏洞分析 | Tony | |
| 16:00-16:15 | 抽奖 | ||
| 16:15-16:45 | 中国后信息安全时代的挑战——完整、中国 | 刘永波 | |
| 16:45-17:15 | NSACE-----面向网络信息安全能力的培训与认证 | 蒋建春博士 | |
| 17:15-17:45 | OWASP中国未来发展规划,WAF测评基准发布 | ||
| 17:45-18:00 | 会议、展览闭幕 | ||
September 21, 2011
COG 2011
2011.9.22,上海,黑客成群。一会出发去瞅黑客去。
背景Background
时过境迁,伴随成长的中国互联网信息安全走过了艰难的十个年头,整个社会运转也已与网络密不可分,网络信息安全已成为经济得以繁荣和可持续增长的基石,信息安全与否已经影响到经济发展以及社会的稳定,甚至国家安全。要实现真正意义上的安全,就要具备相应的安全管理规范,进行自下而上的安全管理。
COG-2011信息安全论坛会议将重拾纯正的“自由、共享、平等、互助”这一至高精神,保持其在中国信息安全业内综合性、前沿性、权威性的特点。丰富的会议论题、全面的涵盖范围、行业的领军人物、权威的演讲专家确保了本次论坛在中国信息安全类会议中的顶级地位。本次论坛无论从技术理论的高度,还是从应用实践的深度,乃至前沿问题的热度,皆在倡导行业自律,达到构筑最大交流平台,促进产业发展。
形式Situation
会议拟定召集行业内400-500人参加,,包括各信息安全小组或团队核心成员,媒体相关人员,厂家代表,互联网安全专家组成员,通过议题形式公布十年来行业的变迁及统计、分析、调查。辅助形式包括分组圆桌专项讨论,小会议室单独媒体采访等。(会议费用全部由承办方独资赞助,除受邀参会人员,不接纳任何个人或团队的临时参会,全程不收取任何的会务费用及入场费。)
会议主题Topics
安全的互联网生活,追求技术自由、免费、共享、平等、互助。
2011会议议题Discussion
1.中国黑客背景分析(数量,规模,组织,团队,技术,职业等)
2.2001—2011年十年重大信息安全事件回顾(编年)
3.中国黑客文化与精神
4.中外黑客横向比对(文化层次,信仰,精神,技术等)
5.信息安全产业状况及发展趋势
6.漏洞分布与分析
7.中国黑客自律条约
8.黑客领军人物评选
August 29, 2011
又是一年XCON来到
同去的有木有啊?
请合作公司帮弄到的票,在此深表感谢。
召开时间:2011年9月1日 至 2日
召开地点:北京金台饭店
XCon安全焦点信息安全技术峰会是国内最知名、最权威、举办规模最大的信息安全会议之一,在全世界具有一定的影响力。多年来,XCon秉承一贯的严谨求实作风,广邀国内外信息安全界的专家、信息安全工作者、信息安全爱好者欢聚一堂,努力打造一个友好、和谐的信息安全交流平台。
2011年的夏天,XCon2011又如约而至,与您相约在文明古国的首都——北京。届时,会有来自世界多个国家的信息安全各领域的专家、学者、研究员以及相关专业人士受邀参会,并发表演讲。会议将涉及应用安全、入侵检测和取证分析、无线和Voip领域以及新兴领域的信息安全技术等方面的探讨和研究。如果您有新的技术、新的发现或是在某些领域里的成功经验,欢迎您到XCon与我们分享。如果您打算跟上瞬息万变的技术发展的脚步,或是扩充您的专业技术知识,欢迎您加入XCon与我们共进步!
会议日程:
| 2011-9-1 XCon2011 第一天 | ||
|---|---|---|
| 时间 | 演讲者 | 议题 |
| 07:30 - 09:00 | 注册 | |
| 09:00 - 09:10 | 开幕词 | |
| 09:10 - 10:10 | Andrea Barisani | 完全破解 Chip & PIN |
| 10:10 - 10:30 | 茶歇 | |
| 10:30 - 11:30 | Dean Pierce | 现代Linux环境下的迂回渗透技术 |
| 11:30 - 12:30 | 陈华江 | RFID无线射频安全 |
| 12:30 - 14:30 | 午餐 | |
| 14:30 - 15:30 | 姜向前 | 3G时代用户账户信息安全保护研究 |
| 15:30 - 16:00 | 茶歇 | |
| 16:00 - 17:00 | 赵双 | 基于SMS/IRC控制的Android Bot以及APK文件的安全审计方法 |
| 2011-9-2 XCon2011第二天 | ||
| 09:00 - 10:00 | 褚诚云 | 微软的 0day对抗策略II |
| 10:00 - 10:30 | 茶歇 | |
| 10:30 - 11:30 | 杨晋 | Windows 7下全功能内核级别 Rootkit:ShadowHunter |
| 11:30 - 12:30 | Fyodor Yarochkin | 网络盗窃:新兴网络犯罪威胁的案例研究 |
| 12:30 - 14:30 | 午餐 | |
| 14:30 - 15:30 | 陈晓波 | PWN你的iOS设备 |
| 15:30 - 16:00 | 茶歇 | |
| 16:00 - 17:00 | 徐昊 | Safari溢出利用-针对Windows/OSX/iOS平台 |
| 17:00 - 17:20 | XCon2011 幸运抽奖 | |
| 17:20 - 17:30 | 闭幕词 | |
August 26, 2011
Nginx又爆漏洞
by:blog.vfocus.net
脱裤黑客们又有的玩了。
Nginx如下版本:
0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8 <= 0.8.37
在使用PHP-FastCGI执行php的时候,URL里面在遇到%00空字节时与FastCGI处理不一致,导致可在非php文件中嵌入php代码,通过访问url+%00.php来执行其中的php代码。如:http://local/robots.txt%00.php会把robots.txt文件当作php来执行。
目前还有许多nginx的低版本服务器存在此漏洞,要养成禁止上传文件目录下执行php的好习惯。
临时解决办法,在nginx虚拟机配置或者fcgi.conf配置加如下代码:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 403;
}
当然升级到最新版本的nginx可以很好解决问题。
August 03, 2011
2011中国计算机网络安全年会-大连
周日出发去大连。
CNCERT/CC 2011 CONFERENCE
2011年8月8日-8月10日大连
2011年中国计算机网络安全应急年会将以"新视点、新安全作为主题,围绕“网络应用安全新趋势”、“网络安全技术新发展”、“通信基础设施安全新问题”、“移动互联网安全新挑战”等话题设置专题分论坛。
时间:2011年8月8日-8月10日
地点:大连
参会人数:300人
会议主题:新视点、新安全
2011中国计算机网络安全年会专场培训 2011年8月8日(星期一) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2011中国计算机网络安全年会 2011年8月9日(星期二) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2011年8月10日(星期三) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
