资料列表
Preview Name 作者 Date File info
  • 敏捷开发中的安全实践
    • 安全重要么
    • 网络安全的现实
    • OWASP TOP10
    • 安全开发所面临的困难
    • 如何兼顾敏捷开发同时还保证安全?
    • 如何提高人的安全意识?
    • 总结
郭洋 青松云安全 2016-11-22 13:30:59
  • 附件: 1 个
  • 大小: 1.91 M
  • 账号体系安全实践
    • 账号被盗的好多种姿势
    • 密码体系的漏洞
    • 稍微讲讲cookie安全
    • 登录凭证的一些漏洞
    • 双因素覆盖不全
    • 二维码扫描登录的风险
    • 二维码扫描登录安全实践
    • 常见通行证登录介绍
    • 通行证登录漏洞的场景一
    • 通行证登录漏洞的场景二
    • 通行证登录漏洞的场景三
    • 通行证安全实践
    • App内嵌页自动登录的风险
    • 绑定第三方账号登录的风险
    • Oauth授权的劫持
    • 安全实践
    • 跨域漏洞获取登录凭证
    • Postmessage劫持
    • 凭证的提权
    • 常见的通行证的一些问题
    • 账号体系新需求
呆子不开口 2016-11-08 16:24:48
  • 附件: 1 个
  • 大小: 0.76 M
陶耀东 博士 研究员 360网神沈阳研发中心 总经理 2016-09-05 05:43:05
  • 附件: 1 个
  • 大小: 5.83 M
  • ELK 安全监控中心踩坑和实践
  • 周军所分享的《去哪儿网 ELK 安全监控中心的踩坑与实践》,介绍去哪儿安全团队面对各种安全监控场景,使用 ELK 技术搭建安全监控中心,如何采集并集中管理各种安全数据,通过统计分析,利用特征匹配和时序统计等方式,对不同场景的风险事件实现自动化监控,做到风险事件的及时发现和响应。

    探讨借助 Kibana 实现数据的可视化分析,实现直观展示抽象的风险事件。议题同时穿插技术实践过程中的踩坑经验,对与会者在相关技术下的探索实践很有借鉴意义。

去哪儿网安全工程师 周军 2016-08-23 08:06:25
  • 附件: 1 个
  • 大小: 6.29 M
  • 点融网的一些安全实践
    • 正在遭遇哪些威胁?
    • 我们该怎么办?
    • 点融在做的一些事...

    李文吉就现在互联网金融的潜在风险作出了分析,并结合甲方的身份给大家讲述了实际遇到的问题。接下来,他给大家讲述了作为甲方,如何面对、解决这些潜在的风险。

    他从WEB安全,业务安全,安全管理等方面,介绍了点融现在在做的一些事。从自建WAF到业务安全引擎,再到员工本身的风险,为大家祭出了一些方案。

点融网高级安全工程师 李文吉 2016-08-23 08:03:41
  • 附件: 1 个
  • 大小: 2.35 M
  • 唯品会产品安全技术实践
  • 目录

    • 1、运作机制
    • 2、SDL建设
    • 3、疑难杂症
    • 4、案例分析

    本次方斌以《浅析唯品会产品安全加固方案》为主题分享,主要介绍在唯品会快速发展的电商企业里,产品安全上推广SDL的一些方法跟碰到的问题及解决方案。

       他提出在建立的《产品设计与开发 安全红线》的基础上来解决最根本的安全问题,加大SDL环节中产品需求设计的安全参于度,减少人工评审时间,加大安全架构设计等。
    
唯品会安全测试经理、VSRC负责人 方斌 2016-08-23 07:57:12
  • 附件: 1 个
  • 大小: 2.33 M
  • 网络安全情报在企业侧的落地与实践
  • 叶蓬与大家分享了网络安全情报在企业端的技术问题,从炒作到落地需要厘清的相关概念,以及企业端运用威胁情报的场景分析与实践分享。

    • 攻击无法避免,重要地是检测和响应
    • 响应太不及时,留给对手太多自由攻击时间
    • 检测力度不够,难以识别未知威胁
    • 缺乏主动安全,处处落后于对手
    • 各自为战,缺乏协同,知识难于传递
    • 人才有限,分布不均,企业侧安全人员匮乏
叶蓬 启明星辰 2016-07-30 10:44:19
  • 附件: 1 个
  • 大小: 2.69 M
  • 共享经济潮流中的风控实践分享
    • 滴滴是怎么做风控的?
    • 风控系统
    • 风控日常工作
    • 卡住入口与出口
    • 识别用户身份
    • 衡量不当获利的成本与收益
    • 重视APP安全
    • 提防内部挖坑
    • 做好内部流程和教育
    • 借助外部力量
    • 做好上述几点就可以了吗
    • 责任、权力、 利益的合理划分
    • 当前补贴越来越少你们不就没事做了吗?
马宁 2016-07-12 15:32:23
  • 附件: 1 个
  • 大小: 1.93 M
  • 从概念到实践,威胁情报的落地
    • 安全威胁情报的概念
      • 当前的网络安全防护体系已落后攻击技术发展
      • 对网络安全防护体系提出了更高的要求
      • 安全威胁情报是什么?
      • 战略 vs. 战术
      • 网络安全威胁情报是一种可能改变攻防态势的技术
    • 国际安全威胁情报的发展情况
      • 国外政府层面对威胁情报的采用
      • 国外在政府和民营间交换威胁情报
      • 国外已提出建设基于威胁情报的生态系统
      • 美国在威胁情报标准方面早已布局,正推向国际标准
      • 国外一线组织和厂家已经普遍支持威胁情报标准
    • 威胁情报的实践与落地
      • 从威胁情报到协同响应
      • 新一代基于情报的安全体系
      • 威胁情报对安全体系的价值
金湘宇 NUKE@Sec-UN 2016-07-06 11:17:05
  • 附件: 1 个
  • 大小: 2.92 M
刘志乐@安恒 2016-06-17 14:27:24
  • 附件: 1 个
  • 大小: 1.3 M