校园网络安全现状 可能的解决思路 现在的时代:一点也不智能化时代 我们想带来的改变,智能化 1.0 时代 简单介绍一下我们——长亭科技 雷池 / SafeLine 谛听 / DSensor 高级渗透测试 长亭安全巡检 展望未来,智能化 2.0 时代 关于人才的一点小想法

目录 范围目标 风险识别 体系建设 我们已实现的 我们将要做的

议题概要： 网络安全说到底是一场博弈，魔高一尺，还需道高一丈。来自网思科平的仇新粱还将详细介绍国内外企业终端安全产品的差异，以及企业防御中为什么应该重视终端安全。 目录 不容忽视的威胁 端点防御技术发展 做负责任的产品 展望

为何将API安全拧出来说 API历史沿革及风险评估 API面临的安全挑战 IoT攻击面分析 S-SDLC & API安全 API安全检测技术

介绍 企业级安全测试进化史 漏洞类型vs业务场景 基于漏洞类型的安全测试 基于业务场景的安全测试 业务场景测试流程 业务流程梳理及业务风险梳理 根据业务流程划分若干业务场景 确定重点业务场景及业务风险点 基于业务场景,流程,业务风险点执行安全测试 业务场景测试要点 从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。 业务场景测试重点关注对象。 原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。 测试方向:平行权限、垂直权限 部分应用过分依赖数字签名,服务端忽略了对会话权限做判断

越来越多的软件企业已经意识到安全的重要性，但由于缺乏安全方面的知识和资源，软件安全的落地仍困难重重。本议题从一些容易实现的安全措施的入手，讲解如何在一个软件企业中实施一个安全项目来提高软件的安全质量。 Vulnerabilities Adhoc solution Cost to fix these issues RnD’s voice to security RnD’s impression to security guys RnD’s expectation to security guys Security guys’ challenge Security as a quick start Create security bug type Security user story Security dashboard So evolve Security awareness training Security release criteria Threat modeling and security design review Security assessment Risk response Apply what you learnt today To be continued

赵伟在演讲中指出，安全行业急需创新，要在国家政策扶持下，产业、产品、人才创新一起上，赵伟表示现在国家正在逐渐认识到网络安全的重要性，并正在加大投入力度，这对整个安全行业来说是一个非常好的机会，所以现在谈创新是非常及时和重要的，只有创新才能引领行业发展。

账号被盗的好多种姿势 密码体系的漏洞 稍微讲讲cookie安全 登录凭证的一些漏洞 双因素覆盖不全 二维码扫描登录的风险 二维码扫描登录安全实践 常见通行证登录介绍 通行证登录漏洞的场景一 通行证登录漏洞的场景二 通行证登录漏洞的场景三 通行证安全实践 App内嵌页自动登录的风险 绑定第三方账号登录的风险 Oauth授权的劫持 安全实践 跨域漏洞获取登录凭证 Postmessage劫持 凭证的提权 常见的通行证的一些问题 账号体系新需求

提纲 • 一、互金常见的安全威胁 • 二、点融安全做的事情 • 三、业务安全新挑战 • 四、安全合规工作 • 五、点融安全应急响应中心