呼吁赋予安全予激情 2015Kcon黑客大会召开

ZD至顶网安全频道 08月22日 综合消息： 在经过前一天的闭门会议后，由北京知道创宇主办的2015 Kcon黑客大会于8月22日上午正式揭开神秘面纱，进入万众期待的技术分享环节。作为国内最重量级的“黑客盛宴”，一场以追求输出当前业界最新最牛“技术干货”的顶级平台，在数以千计的hacker欢呼下，17个议题将轮番轰炸现场，警示业界，2015 Kcon正式“鸣锣”。

2015 Kcon黑客大会现场桌无虚席

知道创宇CEO赵伟开场致辞

知道创宇CEO赵伟开场致辞中表示，安全的路还很长，我们要不断的提升和超越自己，并坚持一颗正义的心，才能攀登高峰。同时认真而又玩笑的要与会黑客同行们在专研漏洞的同时，要时常锻炼身体，但修身的同时也要修心，不忘怀揣的梦想。“只有热爱才有力量，只有任性才能坚持到底。希望大家有力量，并且任性，为网络安全行业做出贡献。”——赵伟说。

“对于黑客来说，黑掉目标是内心的本源冲动。黑掉并不是要带来破坏，而是带来创造力，在无数黑客的努力下，我们可以看到整个科技界在良性进化。你黑与不黑，漏洞都在那，与其被地下黑客滥用，还不如有约束地曝光它，这种曝光是一种平衡，绝不能够一厢情愿。” Kcon会务组负责人、知道创宇公司技术VP余弦如此表示。

Kcon会务组负责人、知道创宇公司技术VP余弦发布Sebug漏洞社区计划

同时在Kcon大会上，知道创宇公司现场发布了Sebug漏洞社区计划，随即正式开启公测，并启动了百万元现金奖励计划。

8月22日-23日Kcon黑客大会全部议题如下：

《家庭安全的第一道—门锁》

GD –网络尖刀安全攻防实验室成员，混迹于安全圈里的小锁匠。

锁与安全，锁是家居的第一道，锁如同服务器上的防火墙，该如何选择，该如何加固，又该如何分辨防盗性能呢？

《大力出奇迹のWiFi Hacking》

Longas- ZerOne无线安全研究组织Leader，无线安全系列书籍作者。VARA/CNCERT/

xKungfoo/OWASP/CDG GHRC 会议演讲者。

越来越多的人都开始玩WiFi Hacking。随着5G、WiFi普及化等概念的落地，本议题也将探讨WiFi Hacking的主要技术点与实际应用场景的偏差，并为国内的无线安全爱好者及安全从业小伙伴们分享一个全新的安全平台。

《黑无止境 — 那些年我们绕过的锁》

Kevin2600 – Insight-labs成员，安全分析师, 坚信黑客精神就是不断探索未知领域。

传统物理安全的历史由来已久，涉及各行各业的各个领域。门禁、视频监控、警报系统，种类繁多。本议题将跟大家一起分享和探讨传统物理安全在物联网时代的特点，以及物理安全设备的漏洞挖掘，分析和利用。

《运营商安全那些事》

Depth -邪红色信息安全组织成员，数据通信科学技术研究所网络工程师，威尔克实验室安全研究员。全能残废

运营商的安全从业者，分享运营商网络环境中的那些脆弱环节，以及一些特殊角度的安全隐患。

《基于树莓派的渗透测试》

Mxi4oyu –锦龙信安高级安全工程师，目前负责安全研究以及渗透测试。

通常来说黑客只要能破解无线网络就能攻入企业内部，以此撬开企业内网大门。本议题主要讨论通过改装树莓派使其成为攻破企业内网的隐秘武器以及树莓派在渗透测试中的一些应用。

《Shell Hacking》

WZT –擅长系统底层编程，13年网络安全经验。精通Unix体系结构下的内核攻击与防护，曾发现多个Linux内核漏洞。

如何只利用Bash脚本语言以及Linux提供的强大命令来完成网络渗透测试，涉及后门、扫描器、远程猜解弱密码、Rootkit隐藏、密码偷取、端口转发等等一系列由Bash编写的工具原理和演示。

《工业网络渗透，直击工控安全的罩门》

zph –人大附中初二学生。目前主要研究内网渗透、工控安全等领域，曾发现天河一号超级计算机集群高危漏洞。

在工控安全中，企业关注更多的通常是物理防护与功能安全，本次议题将讨论通过利用指纹特征从企业外网攻陷SCADA等系统并进一步渗透内网而操控整个工控网络的事例。

《剑客世界的溯源神话》

伤心的鱼 – 猎户攻防实验室成员，产品经理，原黑客X档案编辑。网络安全行业从业8年。

数据情报下的Web攻击溯源技术。本议题着重介绍，基于大数据的信息探测平台、处理引擎、联动效果，并对蜜罐、肉鸡数据及攻击代码做出详解。

《行之细数安卓APP那些远程攻击漏洞》

z7sky & – 360 Vulpecker Team成员，主要从事Android安全研究以及APP自动化安全审计。

360 Vulpecker Team在长期的APP安全审计中，积累了大量的安卓APP远程攻击案例，议题将和大家分享这些不为人知的漏洞，探讨针对这些远程攻击漏洞的防御策略。

《谈谈安卓的Intent注入》

neobyte – 百度X-Team成员，多年安全评估经验，主要研究Java安全、安卓安全、前端安全等。多次获得Chrome以及Android团队致谢。

Intent是安卓Java环境的一种IPC形式。Intent注入可以让APP发送我们想要的 Intent。议题归纳了几种常见的Intent注入类型，如何用工具去自动挖掘这些漏洞，并演示了几个在安卓框架层、系统级APP以及浏览器中发现的Intent注入漏洞。

《Flash 虚拟机内存管理及漏洞利用》

Hearmen – 北京大学软件安全研究小组成员。

Flash 作为现阶段互联网上广泛使用的一种多媒体文件类型，其自身的安全性深刻的影响着几乎所有的互联网用户。本议题将从 Flash 虚拟机对于内存管理的实现入手，与大家分享其在内存分配上的几个特点，以及由此实现的几种较为通用的 Flash 漏洞利用方法。

《Docker/LXC 原理与绕过》

WZT – 擅长系统底层编程，13年网络安全经验。精通Unix体系结构下的内核攻击与防护，曾发现多个Linux内核漏洞。

讲述基于Linux namespace技术的沙箱原理，同时描述Docker的实现细节以及如何利用内核漏洞来绕过Docker/LXC获取系统所有权限。

《Talk Is Cheap：Web 2.0 云攻击》

长短短 – 不是单身。

基于开源社区形式的Web2.0 Hacking平台。

《Mobile Browser UI Security》

xisigr – 腾讯玄武实验室研究员，《Web前端黑客技术揭秘》作者之一。

结合IOS上新发现的几个浏览器UI漏洞，介绍移动浏览器UI安全都有哪些，和PC浏览器有何不同？为什么一个浏览器UI漏洞在IPhone上存在，而在IPad中却没有？当一种攻击和屏幕尺寸、分辨率、视觉关联在一起的时候，UI上的安全就凸显的异常重要。

《Cookie之困》

走马（郑晓峰）– 清华大学网络与信息安全实验室，硕士研究生；蓝莲花队员；专注Web、协议安全。

Cookie在各大浏览器中的实现如何混乱、缺陷如何不堪？Cookie如何让主流支付乱作一团？Cookie驻留式攻击为何物、多强悍？Cookie又如何跃身控制平面干掉一片？让我们一探究竟。

《工控系统安全威胁与应对探索》

Kimon – 中科大ADF信息安全团队成员，安全分析师，对信息安全有自己独特的思维见解，始终相信——专注使人立于不败。

在工业4.0时代，工控系统以及工控设备的安全性在经历严峻的考验。本议题将从工控系统、设备、网络协议等方面为大家展示黑客眼中的工控系统，并与大家深入探讨工控系统的安全应对方案。

《Exploit PLC on the internet》

Z-0ne – 工控安全资深研究员

探讨真实生产环境下工控设备接入互联网后产生的风险及验证的多种方式。议题还会以西门子S7-300 PLC来展示探索内网资源新的攻击方式与利用技术。另外议题还会第一次披露西门子CP模块上的拒绝服务和发布针对西门子S7系列PLC协议的Fuzz工具。