活动 | 11月2日PSRC北京安全沙龙，活动现场礼品预告-安全客

活动简介

PSRC白帽子安全沙龙·北京站将于11月2日下午于北京海淀区3W咖啡举行，这是PSRC 2019年“安全同路人”白帽子安全沙龙的最后一站啦！

收官之站，我们扩大了规模，将欢迎了更多热爱安全的小伙伴一起交流安全技术；

收官之站，我们邀请到了Camaro、SeptHao、镱鍚、567、IT小丑和我们分享白帽子漏洞挖掘以及企业安全建设经验；

收官之站，我们联合十三家SRC一起来分享更多SRC的福利。

今年PSRC沙龙主题是“安全同路人”，旨在网络安全探索、建设的道路上，我们一路同行，携手并进。

活动时间

2019年11月2日下午

活动地点

北京海淀区3W咖啡

主办方

平安安全应急响应中心

最新动态

我们有精彩有料的嘉宾议题：

议题1 XSS-跨域带来的不安全因素议题2 业务安全管理解决之道议题3 二次注入案例与漏洞挖掘经验分享议题4 Android APP 安全测试之路

议题5 “一分钱的事”之支付逻辑漏洞分享

我们还联合了十三家SRC一起来分享更多的SRC白帽子福利：漏洞奖励活动、SRC周边礼品等，均在沙龙现场等你来抽取哦。

报名之前，先看一波沙龙活动现场的礼品预告吧：

沙龙活动现场礼品预告（按首字母排序）

360安全应急响应中心

360SRC平台于2012年上线，是中国首家向漏洞报告者提供现金奖励的厂商。作为中国网络安全领军企业，360一直秉承开放的态度，联合社会各界，为亿万互联网用户提供更加安全的产品。我们欢迎所有网络安全从业者，白帽子向我们反馈360业务漏洞，对于有效漏洞会依据漏洞奖励评估标准给予丰厚的现金奖励。对于安全，我们心存敬畏，对于360SRC平台上的安全专家，我们心存感恩之心。未来，我们将凝聚更加强大的力量共同捍卫亿万互联网用户的安全。网址：https://security.360.cn/礼品：360家庭防火墙

爱奇艺安全应急响应中心

爱奇艺安全应急响应中心（简称71SRC）是爱奇艺为致力于保障爱奇艺各业务线信息安全，促进行业内外安全技术爱好者和安全专家的合作交流，而建立的漏洞收集以及安全应急响应平台。欢迎各位安全技术爱好者和安全专家到71SRC提交各类爱奇艺产品和业务线相关的安全漏洞。在提交漏洞之前，欢迎大家仔细阅读爱奇艺安全应急响应中心漏洞处理流程与评分标准，爱奇艺安全团队期待与您共建健康、友好的沟通和合作。网址：https://security.iqiyi.com/

礼品：爱奇艺会员年卡、月卡

百度安全应急响应中心

百度安全应急响应中心，简称BSRC，是百度致力于维护互联网健康生态环境，保障百度产品和业务线的信息安全，促进安全专家的合作与交流，而建立的收集漏洞与威胁情报的应急响应平台。提交漏洞／情报请登陆BSRC官网：https://bsrc.baidu.com奖励体系：1.个人月度TOP3现金奖励，税后5000元；2.月度优秀团队奖励，根据团队贡献，现金奖金上不封顶；

3. 高质量漏洞／情报现金奖励，税后最高奖励100万元；

4.年度白帽海外颁奖盛典，白帽英雄加冕盛宴

5. 萌新白帽提交有效漏洞／情报即可获得小度智能硬件一部

6. 百度全国网络安全能力竞赛正在报名，详情请见公众号

礼品：小度智能语音车载支架、BSRC定制秋冬帽衫

补天漏洞响应平台

补天漏洞响应平台是一家专注于漏洞响应的第三方公益平台，我们尊重白帽子的劳动产出，让白帽子获得收益与成长，截止到目前平台注册白帽子人数五万余人，2019年奖金发放已达数千万。网址：https://www.butian.net/礼品：补天英雄充电宝、补天6周年纪念款T恤

滴滴出行安全应急响应中心

滴滴出行安全应急响应中心(DSRC)，是滴滴出行连接内外信息安全的桥梁，也是安全研究者反馈滴滴出行产品和业务安全问题的官方平台。DSRC 旨在加强滴滴出行与安全业界的合作，提升滴滴出行整体安全水平，打造健康安全的互联网出行生态。网址：https://sec.didichuxing.com礼品：桔子抱枕、桔哼哼

京东安全应急响应中心

京东安全应急响应中心（security.jd.com）是京东为致力于维护互联网健康生态环境，保障京东产品及业务线的信息安全，而建立的漏洞收集及应急响应平台。该平台旨在加强京东与安全业界的合作交流，提升京东整体安全水平。欢迎广大用户向我们反馈京东集团，各产品及业务的安全漏洞和威胁情报，以帮助我们提升自身产品及业务的安全性，共同守护亿万用户的网络财产安全，打造更安全的互联网生态网址：https://security.jd.com礼品：Joy毛绒公仔

美团安全应急响应中心

美团安全应急响应中心（Meituan Security Response Center）非常欢迎广大用户和白帽子向我们提交美团和大众点评产品和业务的安全漏洞，以帮助我们提升产品和业务的安全性，我们将会有专门的人员跟进处理，并将结果及时反馈给您。网址：https://security.meituan.com礼品：抱枕被

VIPKID安全响应中心

VIPKID安全响应中心，简称VKSRC，是VIPKID与白帽子、安全团队等信息安全同仁沟通的官方渠道。VKSRC旨在主动收集、发现潜在的安全威胁，全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全。VKSRC接收VIPKID和蜂校业务的安全漏洞，核心业务严重漏洞最高奖励15000元，季度个人奖励最高15000元，还有不定期额外现金和礼品奖励活动，欢迎广大白帽子来提交漏洞！网址：https://security.vipkid.com.cn/礼品：小蜜蜂洗浴礼盒

微博安全应急响应中心

微博安全应急响应中心（WSRC，Weibo Security Response Center）是面向广大互联网安全人士及爱好者用于反馈微博各产品、业务、服务器等安全威胁情报及问题的安全响应平台。WSRC致力于微博各产品、业务、服务器整体安全隐患的挖掘、追踪与消除，针对信息安全问题导致的紧急与突发事件制定应急预案及预防性措施，保障用户及微博企业信息安全。网址：https://wsrc.weibo.com礼品：充电宝

小米安全中心

小米安全中心(MiSRC)是为了保障小米移动与物联网产品安全，以及海量终端用户数据安全而建立的漏洞收集与响应平台。我们希望能通过MiSRC和更多热爱安全、关注小米产品的安全专家加强合作与交流。非常欢迎大家向我们反馈小米产品和业务的安全漏洞，一起为国内外数亿用户的安全在线生活保驾护航。网址：https://sec.xiaomi.com/礼品：探月系列盲盒、巨能写、双肩包

新浪安全应急响应中心

新浪安全应急响应中心（SSRC）是致力于保障新浪业务线、产品和用户信息等安全，促进与安全专家和白帽子建立交流合作而建立的安全漏洞、安全情报收集及响应平台。网址：http://sec.sina.com.cn礼品：猪浪玩偶

宜信安全应急响应中心

宜信安全应急响应中心（CreditEase Security Response Center）——简称CESRC。是宜信公司建立的安全漏洞收集及安全应急响应平台，致力于提高宜信全线产品和业务的安全保障，促进白帽子、安全团队和安全爱好者们与宜信公司的直接交流与合作。网址：https://security.creditease.cn/礼品：充电宝

字节跳动安全中心

字节跳动安全中心，致力于为亿万用户的安全保驾护航，打造自由创作的内容生态空间。作为新生力量，以技术为基石，全面提升前瞻性研究和自动化能力。团队积极布局全球化安全人才培养与招募，在北京、上海、深圳、硅谷均设有研发中心，真诚邀请全球白帽子和及各界安全人士与我们一同共创良好安全生态。网址：https://security.bytedance.com/礼品：抖音数据线、抖音抱枕、tiktok帆布袋

除此之外，PSRC也准备了精美的礼品，不知道现场哪些幸运儿能抽到呢，期待！

感谢以上SRC对PSRC白帽子安全沙龙北京站的支持，也欢迎更多的小伙伴们加入，在网络安全的探索与建设、安全人才的培养与提升的道路上，我们一路同行，携手并进。

活动详情

01.活动流程

13:30-14:00 签到

14:00-14:10 PSRC开场14:10-14:40 议题1 XSS-跨域带来的不安全因素14:40-15:10 议题2 业务安全管理解决之道15:10-15:40 议题3 二次注入案例与漏洞挖掘经验分享15:40-16:00 茶歇交流16:00-16:30 议题4 Android APP 安全测试之路16:30-17:00 议题5 “一分钱的事”之支付逻辑漏洞分享17:00-18:00 抽奖、合影

02.活动嘉宾及议题介绍

Camaro 陈思涛长亭科技安全研究员

《XSS-跨域带来的不安全因素》

跨站脚本攻击在业务中层出不穷，也是最难以防御的一种。本文抛砖引玉，通过document.domain作为起点，并以实际中出现的漏洞作为例子，介绍在业务中应用中，跨域所带来的不安全因素。

SeptHao 崔培豪新浪微博安全产品专家

《业务安全管理解决之道》

从网络安全、信息安全一直到最近这两年被大家更多提起的“业务安全”。随着移动互联网、IOT、5G等技术快速的发展，网络连接的边界在不停扩张，互联网越来越带有“基础设施”的属性，承载的业务场景更加丰富。为了应对越来越复杂的网络威胁，业务安全的范畴和手段也变得更加组合和复杂化。本议题分享探讨了如何解决复杂业务安全管理，并对未来的趋势和特点做展望。

镱鍚

《二次注入案例与漏洞挖掘经验分享》

在网络安全技术日渐成熟的今天，一些黑白盒扫描工具已经能自动化覆盖大部分传统的安全漏洞，导致此类漏洞越来越不好挖掘。而相对的，涉及一些逻辑相关操作的越权、二次注入等，是一般扫描器难以做到自动化高效检测等。本次议题就通过分析几个二次注入相关的案例，结合自身挖掘经验与大家一起分享交流。

567 张开亮斗象科技安全研究员

《Android APP 安全测试之路》

在Android客户端的角度，从客户端风险到网络抓包，最终定位到关键代码并完成Hook。

IT小丑赵星平安科技资深安全工程师

《“一分钱的事”之支付逻辑漏洞分享》

一分钱能买买买？苹果支付漏洞纵容“免费”充值？越南一夜之间，禁止移动支付，难道是支付漏洞吗？

十三家SRC联合互动

互动宣传及现场抽奖

PSRC联合十三家SRC（按字母排序：360SRC、71SRC、BSRC、补天平台、ByteSRC、CESRC、DSRC、JSRC、MTSRC、VIPKIDSRC、WSRC、MiSRC、SSRC）与大家一起现场互动，SRC宣讲，现场更有抽取SRC周边礼品等活动。

03.交通路线

3W咖啡(北京旗舰店)：海淀区海淀西大街70号二楼多功能会议室，距离地铁四号线中关村A1西北口900米。开车路线：导航“3W咖啡(北京旗舰店)”即可。

04.关于主办方

平安安全应急响应中心（PINGAN Security Response Center，简称PSRC）隶属于平安集团，是外部用户向平安集团反馈各产品和业务安全漏洞的平台，也是平安集团加强与安全业界同仁合作交流的渠道之一。平安集团非常重视旗下各产品和业务的安全，本着对用户信息安全负责的态度，平安集团致力于打造具备高安全性的产品。平安集团希望借此平台，与广大安全行业从业者、安全爱好者建立友好的互动，来共同提升平安产品的安全性。