8月22日,KCon V3在鸟巢旁一个低(nan)调(zhao)文艺的地方举行。一天卖掉600多张票,马萨拉蒂赞助的演讲嘉宾专用车,BitBays赞助100个比特币,锤子手机赞助的T1,神秘歌手前来来助阵,这些笔者都不想再说了。只想来讲讲黑客们在攻防技术之外的另一面。 上午是面向媒体的封闭论坛,几位演讲嘉宾一起回答了现场媒体的提问,先来张全家福。
几位黑客从左向右依次为:余弦,TK,色di雪球,redrain,冷风,Evi1m0,黑哥。这告诉我们做黑客首先要有一个霸气的代号。 据余弦介绍,黑客主要分为以下几类: 系统黑客:他们精通操作系统,读得了汇编,写得了C语言,以获得系统管理员身份为最高追求。在现场的代表人物是TK和冷风; 脚本黑客:俗称“脚本小子”,他们精通脚本语言,能够发现各大网站的脚本漏洞进行攻击,也会自己写脚本攻击。现场代表人物是余弦、黑哥和蓝色di雪球; 猥琐流:他们的攻击主要发生在Web前端,通常是被动式的,把陷阱准备好,坐等大鱼上钩。现场代表人物是redrain和Evi1m0(为啥猥琐流年龄都偏小?) 下面让我们一一走近这几位黑客吧:
余弦,知道创宇副总裁,本次活动的总策划,微信公众账号“懒人在思考”(lazy-thought),知乎账号余弦。悄悄告诉大家一个八卦:余弦的老婆是他的高中同学。
腾讯“玄武”安全实验室负责人于旸(@tombkeeper),很多人喜欢亲切地叫他TK教主,当然还有人更喜欢叫他“妇科圣手”。在安全漏洞、APT/0-Day 检测、网络攻防、移动和无线安全等领域有多年研究经验;在 CanSecWest、HITCon、XCon、xKungfoo 等国内外安全会议上发表过关于安全漏洞、无线安全、RootKit 检测等主题的演讲;微软漏洞利用缓解绕过悬赏全球两个10万美元大奖获得者之一。当然这10万美金不是白拿的,教主的演讲题目一下子就到了笔者不能理解的高度“ROPs are for the 99%”:未知攻,焉知防?
新浪微博安全团队安全工程师@蓝色di雪球,主要从事微博产品的安全测试,安全功能架构,以及相关自动化平台工具架构和研发工作。致力于研究应用安全,安全自动化以及安全运维等。带来的演讲议题是“利用 OAuth 劫持用户身份”。 |
