前言
滴滴出行安全应急响应中心于2015年11月上线,目前拥有“提交漏洞”、“公告”、“礼品商城”、“个人中心“四大版块。该平台旨在集合安全领域的专家、白帽子、社会团体及个人共同发现潜在的漏洞信息,并依此建立漏洞统计分析中心、预知并自查风险、及时修复漏洞,帮助提升自身产品的安全性,同时为用户营造一个互联网安全出行生态圈。
1月13日,安全大腕、白帽黑客们在北京齐聚滴滴DSRC安全沙龙,针对漏洞、代码入侵、图像欺诈等问题进行了深入探讨,呼吁企业提升自身产品的安全性。漏洞、代码入侵、图像欺诈等问题仍然是网络安全行业所面临的严峻挑战。
大牛分享
玩转生活中的hack
来自百度的高级安全工程师小灰灰为大家分享了议题《玩转生活中的hack》,他给大家分享了如何破解掉生活中的各种电子设备,包括如何伪造GPS信号、破解生活中各种形态的智能卡、如何静悄悄的截获到任意手机的运营商流量等等。这些分享,不仅增强了大家对安全研究的兴趣,同时结合业务层面,让大家对这些攻击风险有了些提前布局的考虑。
App攻与防
来自滴滴安全的付超红为大家分享了议题《APP攻与防》,端上各种作弊器工具花样繁多,技术手段多变。要控制来自端上的各种作弊行为,超红认为需要做好几点工作:首先需要做到知己知彼,搞清楚作弊器工作的技术原理;然后要做好数据的多样化、多维度、多渠道,数据之间可以交叉验证;最后,整个反作弊系统要高度自动化,需要人工干预的工作尽量收敛和统一。
拉勾自动化安全0-1
拉勾安全团队负责人Smarttang分享了议题《拉勾自动化安全0-1》,他表示:“安全这块的自动化完全是根据业务的特性进行定制化的安全建设,最早期更多是用工具满足需求,到中后期,演化相应的平台、工具链条,建立完整的安全框架满足研发、运维对安全的期望,不断的完善拉勾网的安全自动化体系,建立可持续化的安全,为拉勾网的整体业务打下坚实的安全基础。”
安全情报与攻防对抗
NUKE为大家分享了议题《安全情报与攻防对抗》,他提到:“攻防对抗在战略上是人的对抗,但在战术上是机器的对抗。人的资源从全局来说一定是不足的,必需要依靠设备来进行防护,而情报是打通人和设备的最好方式。安全情报在攻防对抗的应用可以有效的提高分析效率,提升发现能力,缩短响应速度。”
图像欺诈和反欺诈
来自滴滴安全的张天明为大家分享了议题《图像欺诈和反欺诈》,他介绍了图像反作弊反欺诈涉及的问题,包括图像(包括证件、头像等)伪造的识别、图像信息校验、人脸识别和反欺诈等,基础的图像处理、OCR技术、图像搜索技术、深度学习等技术。
他说:“掌握这些技术能帮助我们更加高效更加精准地识别作弊和欺诈行为。随着机器学习特别是深度学习技术的发展,加上大公司在数据资源上的优势,模型的判断也在很多指标上超过人类。图像反作弊反欺诈也能在高召回基础上,做好用户体验。”
互联网企业的蓝军
腾讯安全应急响应中心(TSRC)负责人Flyh4t为大家分享了议题《互联网企业的蓝军》,他介绍了大型互联网公司红蓝对抗工作的一些思路和实践。蓝军团队的主要工作包括对核心业务的主要威胁场景模拟完整的黑客攻击、对企业整体防御体系和监控策略进行逃逸攻击。通过实战反向验证安全体系的防御水平,合理化安全建设工作的排序,提升安全团队的实战能力。
浅谈业务逻辑安全
滴滴安全首席白帽土夫子为大家分享了议题《浅谈业务逻辑安全》,他认为:“业务逻辑漏洞近几年爆发增长,造成这一现象的原因是由于公司业务高速发展,代码迭代较快,程序员没有更多的时间去review代码逻辑。业务逻辑漏洞不同于sql注入、xss这些,不太适用自动化场景防护,多数漏洞发现需要人为手工测试。倘若程序代码在更新前,对业务逻辑请求做到逐条审查,再多异想一些非正常访问场景(如更改url中的请求参数),业务逻辑漏洞出现就能大幅度下降。”
Pwn2Own'16 中的 Windows本地提权漏洞
来自滴滴安全的王宇为大家分享了议题《Pwn2Own'16 中的 Windows本地提权漏洞》,他说:“近几年在Pwn2Own这个国际舞台上,中国安全团队大放异彩。随着漏洞对抗难度的加深,想要赢得比赛需要参赛者具备扎实的基本功和天马行空般的创造力。研究者一旦拥有了这样的能力,再结合举一反三就会发现安全研究存在大量的共通点 —— 从安卓系统 Root、iPhone 越狱甚至是到无人驾驶汽车的攻防,太多的领域等待着我们去发现、去创造。”
安全研究者的自我修养
腾讯玄武实验室负责人TK现场传授了成为安全大牛的秘诀,他表示:“我之前搬了很多年的砖,很多技术朋友都想寻求快速成长方法,但在安全技术领域真的能做事情的,一定是搬过砖的,最重要的修养就是不能怕搬砖。此外,当前信息安全界的知识已经呈现爆炸状态,不错过各种新的东西非常重要,要能从别人的研究中获得启发。”
滴滴安全回顾和展望
滴滴信息安全战略副总裁弓峰敏,回顾过去一年滴滴在安全方面的技术实现,他说:“‘三证验真’、‘人像认证’及‘车型一致’等等安全产品背后,都是滴滴安全部门在提供技术支持。我们开发了一个系统,对司机身份、证件的背景进行调查,这是预防举措;接下来,在行车过程中,会及时检测到不安全的状况,以判断是否有安全隐患;第三步是通过我们的系统来干预风险,及时提供必要的帮助;此外,我们在司机和乘客的安全教育方面也做了很多事情,比如提醒系好安全带,我们也通过技术手段来检测这样的行为。”
颁奖环节
1月13日,滴滴安全召开了首届沙龙,其中重磅环节就是弓峰敏老师为白帽进行颁奖。白帽黑客们在DSRC平台提交漏洞,为滴滴数亿用户的安全保驾护航,他们是最可爱的人。沙龙现场颁发了多个奖项,包括最佳贡献、最佳支持奖,以及一代宗师、技压群雄、炉火纯青、深不可测、江湖少侠奖。
最佳贡献奖
最佳贡献奖获得者是土夫子和Kevin_1967。
土夫子——爆破为王逻辑至上,沉着冷静所向披靡,年度总积分超过12000分,漏洞质量遥遥领先,高居荣誉榜榜首,当之无愧最佳贡献。
Kevin_1967——2016下半年斩露头角,认真执着不断探索,年度总积分排名第二位 。
最佳支持
最佳支持的获奖人员是Alex、Blood_zer0、七百斤的猴子。他们积极助力于DSRC各类活动,并且为DSRC课程提供文章。一载春秋风雨相协,感谢有你并肩同行。
年终奖励
年度积分在100分以上的24位白帽,分别授予一代宗师、技压群雄、炉火纯青、深不可测、江湖少侠荣誉称号。
年度积分不足100分的白帽,DSRC也为你准备了年终奖——现金红包,感谢你们为滴滴安全所做的贡献。
总结
滴滴安全扬帆起航,感谢有你一路相伴。2017希望越来越多的白帽加入,共建滴滴安全。
在这提前给各位拜个早年,祝大家新年快乐,鸡年大吉,天下没有难挖的漏洞!
发表评论
您还未登录,请先登录。
登录