Suche senden
Hochladen
Axis 黑客来了怎么办
•
Als PPT, PDF herunterladen
•
0 gefällt mir
•
1,193 views
D
drewz lin
Folgen
Melden
Teilen
Melden
Teilen
1 von 27
Jetzt herunterladen
Empfohlen
Facilitating Ideation with External Open Collaborative Communities_SIKM May 2...
Facilitating Ideation with External Open Collaborative Communities_SIKM May 2...
Karla Phlypo
Web security-–-everything-we-know-is-wrong-eoin-keary
Web security-–-everything-we-know-is-wrong-eoin-keary
drewz lin
Via forensics appsecusa-nov-2013
Via forensics appsecusa-nov-2013
drewz lin
Phu appsec13
Phu appsec13
drewz lin
Owasp2013 johannesullrich
Owasp2013 johannesullrich
drewz lin
Owasp advanced mobile-application-code-review-techniques-v0.2
Owasp advanced mobile-application-code-review-techniques-v0.2
drewz lin
I mas appsecusa-nov13-v2
I mas appsecusa-nov13-v2
drewz lin
Defeating xss-and-xsrf-with-my faces-frameworks-steve-wolf
Defeating xss-and-xsrf-with-my faces-frameworks-steve-wolf
drewz lin
Empfohlen
Facilitating Ideation with External Open Collaborative Communities_SIKM May 2...
Facilitating Ideation with External Open Collaborative Communities_SIKM May 2...
Karla Phlypo
Web security-–-everything-we-know-is-wrong-eoin-keary
Web security-–-everything-we-know-is-wrong-eoin-keary
drewz lin
Via forensics appsecusa-nov-2013
Via forensics appsecusa-nov-2013
drewz lin
Phu appsec13
Phu appsec13
drewz lin
Owasp2013 johannesullrich
Owasp2013 johannesullrich
drewz lin
Owasp advanced mobile-application-code-review-techniques-v0.2
Owasp advanced mobile-application-code-review-techniques-v0.2
drewz lin
I mas appsecusa-nov13-v2
I mas appsecusa-nov13-v2
drewz lin
Defeating xss-and-xsrf-with-my faces-frameworks-steve-wolf
Defeating xss-and-xsrf-with-my faces-frameworks-steve-wolf
drewz lin
Csrf not-all-defenses-are-created-equal
Csrf not-all-defenses-are-created-equal
drewz lin
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
drewz lin
Appsec usa roberthansen
Appsec usa roberthansen
drewz lin
Appsec usa2013 js_libinsecurity_stefanodipaola
Appsec usa2013 js_libinsecurity_stefanodipaola
drewz lin
Appsec2013 presentation-dickson final-with_all_final_edits
Appsec2013 presentation-dickson final-with_all_final_edits
drewz lin
Appsec2013 presentation
Appsec2013 presentation
drewz lin
Appsec 2013-krehel-ondrej-forensic-investigations-of-web-exploitations
Appsec 2013-krehel-ondrej-forensic-investigations-of-web-exploitations
drewz lin
Appsec2013 assurance tagging-robert martin
Appsec2013 assurance tagging-robert martin
drewz lin
Amol scadaowasp
Amol scadaowasp
drewz lin
Agile sdlc-v1.1-owasp-app sec-usa
Agile sdlc-v1.1-owasp-app sec-usa
drewz lin
Vulnex app secusa2013
Vulnex app secusa2013
drewz lin
基于虚拟化技术的分布式软件测试框架
基于虚拟化技术的分布式软件测试框架
drewz lin
新浪微博稳定性经验谈
新浪微博稳定性经验谈
drewz lin
无线App的性能分析和监控实践 rickyqiu
无线App的性能分析和监控实践 rickyqiu
drewz lin
网易移动自动化测试实践(孔庆云)
网易移动自动化测试实践(孔庆云)
drewz lin
天猫后端技术架构优化实践
天猫后端技术架构优化实践
drewz lin
天猫大促性能测试实践 耿电
天猫大促性能测试实践 耿电
drewz lin
互联网海量运维 20130807
互联网海量运维 20130807
drewz lin
阿里自研数据库 Ocean base实践
阿里自研数据库 Ocean base实践
drewz lin
T4 淘宝私有云
T4 淘宝私有云
drewz lin
Weitere ähnliche Inhalte
Mehr von drewz lin
Csrf not-all-defenses-are-created-equal
Csrf not-all-defenses-are-created-equal
drewz lin
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
drewz lin
Appsec usa roberthansen
Appsec usa roberthansen
drewz lin
Appsec usa2013 js_libinsecurity_stefanodipaola
Appsec usa2013 js_libinsecurity_stefanodipaola
drewz lin
Appsec2013 presentation-dickson final-with_all_final_edits
Appsec2013 presentation-dickson final-with_all_final_edits
drewz lin
Appsec2013 presentation
Appsec2013 presentation
drewz lin
Appsec 2013-krehel-ondrej-forensic-investigations-of-web-exploitations
Appsec 2013-krehel-ondrej-forensic-investigations-of-web-exploitations
drewz lin
Appsec2013 assurance tagging-robert martin
Appsec2013 assurance tagging-robert martin
drewz lin
Amol scadaowasp
Amol scadaowasp
drewz lin
Agile sdlc-v1.1-owasp-app sec-usa
Agile sdlc-v1.1-owasp-app sec-usa
drewz lin
Vulnex app secusa2013
Vulnex app secusa2013
drewz lin
基于虚拟化技术的分布式软件测试框架
基于虚拟化技术的分布式软件测试框架
drewz lin
新浪微博稳定性经验谈
新浪微博稳定性经验谈
drewz lin
无线App的性能分析和监控实践 rickyqiu
无线App的性能分析和监控实践 rickyqiu
drewz lin
网易移动自动化测试实践(孔庆云)
网易移动自动化测试实践(孔庆云)
drewz lin
天猫后端技术架构优化实践
天猫后端技术架构优化实践
drewz lin
天猫大促性能测试实践 耿电
天猫大促性能测试实践 耿电
drewz lin
互联网海量运维 20130807
互联网海量运维 20130807
drewz lin
阿里自研数据库 Ocean base实践
阿里自研数据库 Ocean base实践
drewz lin
T4 淘宝私有云
T4 淘宝私有云
drewz lin
Mehr von drewz lin
(20)
Csrf not-all-defenses-are-created-equal
Csrf not-all-defenses-are-created-equal
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Chuck willis-owaspbwa-beyond-1.0-app secusa-2013-11-21
Appsec usa roberthansen
Appsec usa roberthansen
Appsec usa2013 js_libinsecurity_stefanodipaola
Appsec usa2013 js_libinsecurity_stefanodipaola
Appsec2013 presentation-dickson final-with_all_final_edits
Appsec2013 presentation-dickson final-with_all_final_edits
Appsec2013 presentation
Appsec2013 presentation
Appsec 2013-krehel-ondrej-forensic-investigations-of-web-exploitations
Appsec 2013-krehel-ondrej-forensic-investigations-of-web-exploitations
Appsec2013 assurance tagging-robert martin
Appsec2013 assurance tagging-robert martin
Amol scadaowasp
Amol scadaowasp
Agile sdlc-v1.1-owasp-app sec-usa
Agile sdlc-v1.1-owasp-app sec-usa
Vulnex app secusa2013
Vulnex app secusa2013
基于虚拟化技术的分布式软件测试框架
基于虚拟化技术的分布式软件测试框架
新浪微博稳定性经验谈
新浪微博稳定性经验谈
无线App的性能分析和监控实践 rickyqiu
无线App的性能分析和监控实践 rickyqiu
网易移动自动化测试实践(孔庆云)
网易移动自动化测试实践(孔庆云)
天猫后端技术架构优化实践
天猫后端技术架构优化实践
天猫大促性能测试实践 耿电
天猫大促性能测试实践 耿电
互联网海量运维 20130807
互联网海量运维 20130807
阿里自研数据库 Ocean base实践
阿里自研数据库 Ocean base实践
T4 淘宝私有云
T4 淘宝私有云
Axis 黑客来了怎么办
1.
黑客来了怎么办 翰清吴 @ 安全宝( anquanbao.com
) 2013-4-19
2.
我是谁 • 2005 -
Alibaba • 2012 - 安全宝 • 《白帽子讲 Web 安 全》 • 微信:道哥的黑板报
3.
第一 :危机公课 关
4.
支付宝信息泄露事件
5.
支付宝信息泄露事件 • 2013-3-27 ,接到外部通知,快速定位问 题 •
凌晨 4 点 急升紧 级 • 第二天,官方微博 布公告发 • 第二天,支付宝公关 @ 亮再次解陈 释
6.
支付宝曾 犯 的经
过 错
7.
Linode 被入侵 • 所有用
被要求修户 改密码 • 黑客 宣布组织 负责 • Linode 的 理 度处 态
8.
58 同城 事件娱乐 •
《非你莫属》应 聘事件 2013-4-8 • 黑客攻击 58 同 城 • 58 同城的应对
9.
些人会 漏洞哪 报 •
余 好者业 爱 - 学生 • 安全公司专业 • 黑客技 好术爱 组织 • 黑客 • 程序员 • ......
10.
漏洞 告与入侵的区报 别 •
安全 估里 漏洞往往只需要做概念性评 发现 明(证 POC ) • 入侵却是 意的,伴随着 失( )恶 损 拖库
11.
授权与未授权 • 格来 ,未授权的攻
行 都是严 说 击测试 为 入侵。 • 但 上有很多困 。现实 难
12.
刑法的定义 • 刑法修正案(七)在刑法第 285
条中增加 款作 第二款、第三两 为 款:“ 反国家 定,侵入前款 定以外的 算机信息系 或者采违 规 规 计 统 用其他技 手段, 取 算机信息系 中存 、 理或者术 获 该计 统 储 处 传输 的数据,或者 算机信息系 施非法控制,情 重的,对该计 统实 节严 三年以下有期徒刑或者拘役,并 或者 金;情 特处 处 单处罚 节 别严 重的, 三年以上七年以下有期徒刑,并 金处 处罚 。” • “ 提供 用于侵入、非法控制 算机信息系 的程序、工具,或专门 计 统 者明知他人 施侵入、非法控制 算机信息系 的 法犯罪行实 计 统 违 为 而 其提供程序、工具,情 重的,依照前款的 定 。”为 节严 规 处罚
13.
真正的白帽子 把握好尺度应该
14.
白帽子的心态 • 渴望被尊重 • 被厂商尊重,被社会尊重 •
希望漏洞价 得到 可值 认
15.
漏洞有没有价 ?值呢
16.
不等价 • 白帽子眼中的漏洞价值 • 厂商眼中的漏洞价值
17.
No More Free
Bugs • Cansecwest 2009
18.
微 每个安全 丁的成本在数百万美软
补 金
19.
什么要披露漏洞为 • 最大化的 用
的利益维护 户 • 尊重白帽子的表现 • 拒 可能 致漏洞流向地下黑客绝对话 导
20.
厂商 采取的 度应
态 • 公告感 白帽子发 谢 • 适当的 励奖 • 的渠道收集安全专门 问题 • 快速响应 • 勇于承 , 客认错误 对 户负责
21.
微 的漏洞政策软 • http://www.microsoft.com/security/msrc/report.a
22.
Google 的漏洞政策 • http://www.google.com/about/appsecurity/reward-pr
23.
Facebook 的漏洞政策 • Our
minimum reward is $500 USD • There is no maximum reward: each bug is awarded a bounty based on its severity and creativity • Only 1 bounty per security bug will be awarded • http://www.facebook.com/whitehat/
24.
国内互 网公司政策联 • 腾讯
- TSRC • 阿里 • ......
25.
于关 Wooyun.org • 第三方
督监 • 厂商 配合 云的漏洞 告应该积极 乌 报 • http://www.wooyun.org/help
26.
保持 放的心开 态 黑客没什么可怕的 黑客没什么可怕的
27.
Thanks
Jetzt herunterladen