- DID在区块链生态中的前景 - 区块链的安全问题 - 如何建立DID风险评估模型 - DID身份画像在安全生态中的应用 - 缺点和不足 DID规范的提出与区块链生态中地址即身份的技术特征不谋而合。但回顾区块链的发展历程发现，类似DID的概念在强调保护用户隐私及声明网络资源所有权的同时，似乎也为骇客活动提供了便利。 在去中心化场景下如何感知隐藏在DID背后的

- 背景介绍 - 典型的几类工控设备固件提取方法 - 固件提取方法总结 在工控安全研究的过程中，会遇到诸多困难，其中首当其冲的是固件的获取困难。很多厂商不提供固件下载，即使可下载也是加密处理后的固件，无法有效进行后续的研究。 本议题主要针对该困难，提出了一套在国内外工控厂商（西门子、ABB等）广泛使用的设备中验证后的有效方法论，该方法论中根据设备的不同特点提出了针对性

- 第一章 ：近源威胁面分析 - 第二章 ：近源渗透手段 - 第三章 ： ANT Tools工具包介绍 威胁分析： 近源威胁远不止黑客攻击。在本议题中，我们将分析近源渗透的攻击面和攻击手段。包括不限于： ▶ 在冗长的硬件供应链和维护环节，有大量的人员可以接触设备，在硬件或固件中投毒，或是在维护过程中窃取数据。 ▶ 数据取证是司法实践中广泛应用的手段。

- DeFi”与“捡钱” - DeFi 捡钱案例” - 从“捡钱”到“抢钱” - 成为“web3 英雄” 该议题是关于区块链安全的，目前区块链安全是比较热门和新的 topic。 该议题将结合至少两个真实知名项目中的 issues（包括未披露的），说明如何通过代码审计，找出来一些 defi 项目中的套利点。 另外以此为切入点，介绍关于智能合约代码审计的流程方法

本议题主要讲述如何从零到一构建自己的java自动化代码审计方案，并且以利用链挖掘、基础漏洞挖掘方法、进阶漏洞挖掘方法三个部分分享具体的案例。 分享内容主要涉及： - 1. 基于代码属性图的漏洞挖掘方案（tabby原理、实现思路） - 2. 利用代码属性图来挖掘利用链（包括对市面上常见的利用链挖掘思路） - 3. 利用代码属性图来挖掘常见的通用web漏洞（以国内某著名商业应

- JSON - tricks - JSON - Gadgets JSON 广泛地被应用在各类程序中，这也使其成为了攻防中的焦点。作为最受欢迎的数据交换格式，它被各类编程语言所实现，作为Java开发者最受欢迎之一的 fastjson 服务了无数的 JavaWeb 应用，经过对它的研究我找到了一种可以绕过 1.2.80 版本内部安全检查的方法。 我将在本次议题分享