内附PPT | 2018先知白帽大会精彩回顾

大会官网：https://xianzhi.aliyun.com/activity/zcon2018.htm

会议简介

2018年6月16日，即将在北京上演一年一度的“先知”白帽盛会。尊崇“白帽文化”，我们带来的是一场真正属于“白帽子”的技术大赏。

12位安全领域的佼佼者，聚焦“攻与防”的技术践行。通过「安全技术成果」和「实战经验」分享，在场的每一个人都将收获满满。

思维的碰撞，技术的交流，这是专属“白帽子”的文化。今天，组委会带来一份新鲜出炉的参会指南，让我们看看有哪一些大咖们值得期待！？

 

会议时间

2018年6月16日

 

会场地址

新云南皇冠假日酒店

北京朝阳区东北三环七圣中街12号云南大厦

 

精彩回顾

16号早上9:00，一大波热情高涨的同学已经提前到达会议现场，期待着新一届的白帽大会开启。

上午9:30，600-700人的会场座无虚席，会议正式开始。

大会开始后，首先迎来了道哥吴翰清的开场演讲，他介绍了自己为什么投身去建设上海城市大脑，同时给白帽子们提了一个建议：安全人员不要给自己设置边界，年轻人别太束缚自己，喜欢就去做，敢想敢做才能改变这个世界！

然后猪猪侠同学介绍了先知过去一年的成绩，先知9000位实名认证白帽子，去年总计为1200家企业提供安全众测服务，为企业发现超过38000个漏洞，间接避免了15亿的经济损失。

并在现场带来了先知的三个新计划

• 先知通用漏洞计划

• 先知红队成立（与阿里专家联合组队）

• 众测101计划（众测技巧脱敏分享）

01 macOS 上的逻辑提权漏洞

在会议临近的前一个晚上，先知君亲眼目睹了菜丝同学，在马路上修改PPT，凌晨还在彩排现场用IDA调漏洞，只为给大家带来精彩的技术分享。 

02 弑君者Kingslayer:供应链攻击前餐

redrain同学抑扬顿挫、此起彼伏的演讲风格，让我们身临其境般的走入了一场宏大的战争故事之中。他的最终溯源结果让我们知道，多起供应链的攻击事件，以及 Schoolbell 跟多起安全行为都同出一辙，里面有着深深不可告人的秘密。

03 代码审计点线面实战

jkgh006同学一上台，二话不说就是一堆很硬的干货砸给参会者们，这种简单粗暴的方式，先知君非常喜欢。好多技术点都能成为众测的提款机，具体细节待围观者们自行挖掘。现场有不少识货的同学，都赶紧的拍了下来。

04 边信道硬件攻击实战

狗汪汪在会议一开始前，就给先知君秀了一波操作，多个视频直接演示了电磁泄露隐患、时序攻击、毛刺注入Glitch等漏洞，那个提款机的漏洞演示，看得真是意犹未尽。最后的总结：100%安全的系统并不存在。

05 从一个脆弱点到串起整个攻击面

Orange在web漏洞利用方面的知识链之深，让人叹服。一个惊艳分号，让人顿时想说出一句粗话：“哇靠，还能这样！”，服气。Spring Framework 0day – CVE-2018-1271 和 Bynder 远程代码执行漏洞，让我们对路径解析有了新的认知。

会场到达最精彩的时候

增加到800座椅后依然被坐满

06 攻击GraphQL

P牛的议题简洁清晰，先介绍了传统的SQL语法和GraphQL语法的使用方式，从敏感信息泄露与越权，前端安全漏洞（如CSRF,Clickjacking等），GraphQL注入漏洞，Debug模式下的信息泄露等漏洞开始，完整的总结阐述了GraphQL会遇到的各种安全问题。 

07 Java反序列化实战

廖新喜从反序列化入门（序列化和反序列化简介、存储格式、使用场景、反序列化项目等）的介绍，到漏洞的细节利用，都做了比较清晰的解释。重点讲解了fastjson和weblogic的各种版本修复绕过方法。

08 智能合约消息调用攻防

百度工程师隐形人真忙，从以太坊架构与攻击面介绍、EVM消息调用原理剖析、消息调用攻防等方面，介绍了智能合约消息调用安全攻防。并附上了自己的总结，那个精妙的call注入漏洞，让人意犹未尽。

09 从数据视角探索安全威胁

cdxy从海量数据的视角来剖析安全威胁分析的各种思路。数据清洗、规则实现、踩坑的经历和建议，让人感觉这个议题是真走心。

10 WEB 2.0 启发式爬虫实战

猪猪侠介绍了如何基于历史经验和已知场景，构造并实现一个动态爬虫。通过浏览器提供的Headless调试模式，来遍历一个网页的所有动态对象，自动填充输入表单的参数值，并触发对象上的绑定的事件，有效解决安全测试过程中的攻击面挖掘。 

11 如何利用Ryuk分析和挖掘macOS&iOS内核驱动漏洞

在移动安全领域经验丰富的两位阿里同学（白小龙&蒸米），为大家分享了细致的漏洞发现思路，同时开放出一款自研的用于分析macOS及iOS内核驱动的静态分析工具Ryuk。能够极大地加速苹果驱动逆向和安全性分析流程，加快漏洞挖掘进程。 

至此，本届先知白帽大会已经圆满结束，希望大家在收获满满的同时，也能够在会后通过学习演讲者的分享碰撞各种火花。

 

大会参与方式

本次大会不设门票，统一线上报名参与。

点击这里立即报名https://yq.aliyun.com/event/245/join/pre?spm=a2c0h.8049718.1086673.11.gxj5Um

提交报名信息，参会二维码短信将在报名申请通过审核后发送到报名填写的手机上。

注意事项

大会不支持现场报名；

进入会场凭借二维码凭证，请妥善保管；

线上报名请妥善填写真实资料，确保入场凭据能够正确发送；

若6月12日还未收到入场凭证短信，或因误删短信导致票务丢失，请及时联系组委会补发入场凭证；

 

联系我们

邮箱：aliyun_xianzhi@service.alibaba.com

前往大会官网，获取更多信息~

https://xianzhi.aliyun.com/activity/zcon2018.htm

 

大会议程

会议亮点

基于实战

白帽大会的演讲议题均由实战驱动，要求来源于实践。在遴选议题时，特别注重讲师是否为一线安全领域的实践者。对于大会而言，实践者优于布道师。

技术初心

大会不接受平庸和陈旧，在议题内容的选择上，组委会与业内专家、白帽群体进行了多次的深入讨论，力求挖掘筛选出最新最有代表性的攻防议题，让参会者满载而归。

紧跟国际

白帽大会每年会投入很大的成本，邀请很多来自海外知名安全团队及知名公司的技术大牛，分享海外安全技术经验。

 

文末福利

贴心的安全客小伙伴为大家要来了详细的议题PPT，不多说了，先来先学，快来上手一探究竟吧！

议题PPT：https://yunpan.360.cn/surl_yczpjj9ZQJm （提取码：c333）