来自新浪网的高级开发工程师——糖果，他认为企业构建威胁防御系统是一种基础性的工作，通过什么样的系统架构和数据流程处理，让威胁数据分析与威胁风险识别更高效呢？成为了一个课题，如何面对企业内部系统结构的复杂性处理，如何使用业界通用工具，同时采用前沿的大数据解决方案，让我们面对威胁攻击行为与纷至沓来的情报信息源时，可以行之有效的去伪存真，把握关键重点，给企业监控系统装上鼻子，嗅探到威胁的存在。给系统装上

Server Side Template Injection, 服务端模板注入，最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh（呆爷），主要从模版注入Flask方向为大家带来了精彩的分享。 模板注入相较于其他注入，例如xss、sql注入、xml注入等攻击，其本质思想是一致的，服务器端接受了用户的输入，未做验证或过滤便作为模板内容的一部分，在

柳兮是阿里安全归零实验室的资深安全工程师，本次他分3个维度对广告业务域的攻击手法进行了分析阐述。 广告业务作为公司的重要收益来源之一，一直饱受虚假流量、内容安全、媒体质量等多方面的业务安全风险。随着视频网站相关行业、网络自制剧、自频道等生态的蓬勃发展，这些现象也越来越常见，并形成了一个完整灰色的产业链。在目前风险较高的虚假流量场景下，无线和PC端上的攻防对抗。更是尤为激烈，除此之外，攻击者也

代码审计一直是企业白盒测试的重要一环，面对市场上众多商业与开源的审计工具，汽车之家想集众家之所长来搭建一套自动化的扫描系统。 他们认为应该具有以下几个特点： - 自动化识别项目依赖组件 - 自动化识别组件已知漏洞 - 自动化处理误报 - 自动化触发扫描 - 高危漏洞在敏捷开发中的issue闭环跟踪 - 支持分布式部署 - 可以集成到CI/CD系统中 赵乾给出实践方法与思路