主页 / QCon 北京 2017 / 议题列表
代码未写,漏洞已出——谈谈设计不当导致的安全问题
  • 作者: 于旸(TK) / 腾讯 玄武实验室总监
  • 收录:
  • 简介:

软件安全问题由来已久,品种繁多。但无外乎两大类。一类是实现的问题,在编码过程中才出现。另一大类是设计问题,在详细设计甚至概要设计里就有了。这个演讲将带着大家通过分析一些历史上的真实案例,来认识设计类型的漏洞,以及思考减少这类问题的方法。 - 比较数据的学问 - 里外不是人的 FTP 协议 - 支付系统和交易系统的耦合不当 - BadBarcode 问题 - BadTunnel

数据驱动安全——滴滴安全基础数据建设
  • 作者: 梁秦楠 / 滴滴出行 信息安全部资深开发
  • 收录:
  • 简介:

#主题摘要 - 滴滴安全数据建设的现状; - 滴滴安全数据平台的整体架构; - 数据采集与清洗; - 数据仓库; - 数据分析与可视化方案。

基于社交网络的大规模网络攻击自动对抗技术
  • 作者: 成杰峰 / 腾讯 社交网络运营部专家工程
  • 收录:
  • 简介:

#大纲 - 1 互联网安全第一环:恶意帐号 - 2 腾讯恶意帐号智能识别系统 - 3 全量社交网络规模的图计算内幕 - 4 从恶意帐号识别到大规模网络攻击的自动对抗 - 5 恶意库在互联网安全的应用

金融行业企业安全建设之路
  • 作者: 聂君 / 安信证券 信息技术部安全总监
  • 收录:
  • 简介:

本演讲将分享金融行业企业安全建设的实践和思考,包括:金融行业企业安全的本质、原则,与业务的关系,安全度量,如何管理上级,处理横向部门的关系,特别是安全运营之路的经历和理解。安全运营内容包括面临的问题、安全运营架构、支撑工具和所需资源,对安全运营的难点,安全检测为什么会失效,安全运营成熟度,在实践中的一些方法和遇到的问题进行思考。本议题将会对这些细碎的内部安全问题进行梳理并提出一套行之有效的解决方案

他山之石,可以攻御——谈谈一类没“技术”含量的绕过漏洞
  • 作者: @呆子不开口 吕伟 / 宝宝树 安全总
  • 收录:
  • 简介:

此议题要探讨的安全问题,不需要专业的漏洞挖掘技术。一个对生活有心的技术小白也可能发现此类漏洞。当攻击者想要突破某个安全防御的时候,可能不用硬碰硬,就有很多其他正常功能可以帮他绕过你的防御。同时,也分享本人发现的一些漏洞案例来谈谈在安全设计时,怎么尽量避免此类风险。

甲方安全从0到1
  • 作者: 吴文灏 / bilibili 安全团队
  • 收录:
  • 简介:

很多初创的甲方公司高层认为安全就是找漏洞和修漏洞,很多乙方的工程师也没有企业安全管理的真正经验,B 站在这期间,也是摸着石头过河。因此本专题将通过分享 B 站在安全建设初期上的经验,希望能给一些安全还没起步的公司和刚跳到甲方的安全工程师一点启发,在安全建设上少走一些弯路。 #目录 - 攻防对抗 - 安全体系建设 - 业务安全与风控 - 怎么汇报工作?