9月23日,國(guó)內(nèi)知名網(wǎng)絡(luò)安全專家林峰將亮相“2013年中國(guó)互聯(lián)網(wǎng)安全大會(huì)”(isc.360.cn),并在當(dāng)天的“新興安全威脅論壇”上做《盲打——新興的滲透測(cè)試技術(shù)研究》主題演講,從xss盲打的主動(dòng)與被動(dòng)、滲透的的新技術(shù)進(jìn)行重點(diǎn)剖析,并通過(guò)一個(gè)完整的基于“XSS盲打平臺(tái)”下的XSS漏洞,利用場(chǎng)景實(shí)現(xiàn)對(duì)客戶端的深層次攻擊的具體過(guò)程。
林峰專注于安全應(yīng)急、入侵分析取證和新興安全威脅的研究。他認(rèn)為,XSS跨站腳本攻擊漏洞由于存在的普遍性和利用的便捷性,是黑客發(fā)起釣魚(yú)攻擊、竊取用戶信息甚至獲取站點(diǎn)權(quán)限的主要攻擊方式,成為網(wǎng)站的主要安全威脅之一。
此前XSS漏洞曾引發(fā)重大網(wǎng)絡(luò)安全事故。2011年6月28日晚,新浪微博遭到到了XSS跨站腳本攻擊,受影響的微博用戶自動(dòng)向粉絲發(fā)送含惡意代碼的私信和微博,中招粉絲會(huì)再次向自己微博的關(guān)注者發(fā)送包含惡意代碼的私信和微博,短短半小時(shí)內(nèi)就有數(shù)以萬(wàn)計(jì)的微博用戶中招。
作為國(guó)內(nèi)規(guī)模最大的一次網(wǎng)絡(luò)安全盛會(huì),“2013年中國(guó)互聯(lián)網(wǎng)安全大會(huì)”吸引了Flashsky、alert7、tombkeeper、江海客、蔡晶晶、潘柱廷等等知名“白帽”網(wǎng)絡(luò)安全專家,以及國(guó)際資深網(wǎng)絡(luò)安全專家詹姆斯•劉易斯、AV-Test反病毒測(cè)試公司CEO安德烈亞斯•馬克思、中國(guó)工程院院士鄔賀銓、Gartner公司副總裁彼得•福斯特布魯克等國(guó)內(nèi)外頂尖網(wǎng)絡(luò)信息安全專家的參與。
本次大會(huì)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心指導(dǎo)、360公司主辦,獲得網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室、OWASP、Gartner等權(quán)威機(jī)構(gòu)支持,將于9月23日-25日在北京國(guó)家會(huì)議中心召開(kāi),即日起可登陸isc.360.cn網(wǎng)站或撥打010-56822615電話了解更多詳情。
