字节白帽专属沙龙来袭！只为你！

以下文章来源于字节跳动安全中心 ，作者下周直播见的

随着互联网的高速发展，新技术不断涌现，同时也带来了各种漏洞隐患。白帽子群体是协助企业保护、防止数据泄露、减少网络犯罪等不可或缺的力量。

6月2日，我们将邀请到来自抖音、飞书、火山引擎、京东的安全专家及字节核心白帽代表，共同贡献一场关于白帽技术、成长和福利的盛宴。分享拥有亿万用户的业务如何进行风险防御，展示不同视角下的漏洞挖掘与治理，上演“白帽”和“审核”的现场“对决”，公布ByteSRC最新的成长体系奖励计划。精彩即开，敬请期待。

沙龙亮点抢先看

抖音、飞书、火山引擎三大业务安全实践悉数奉上

办公安全、数据安全等治理难题解析及案例分享

京东首席安全研究员Flanker细数安卓安全变迁

字节核心白帽Lum14n展示云上漏洞挖掘技巧

“审核”师傅亲自下场为SRC漏洞挖掘划重点

ByteSRC继漏洞单价提升至4.5w后又有大动作

议题详情抢先看~

01

飞书越权漏洞检测及SRC挖掘方向建议

随着远程办公的日益普及，企业办公安全面临着巨大挑战。飞书作为保障数万人高效协作的办公工具，既服务于字节跳动也服务于外部客户，它的安全尤为重要。本次议题将分享飞书历史漏洞情况及治理过程，更有给SRC白帽的高效漏洞挖掘指南。

**刘卧野，字节跳动攻防工程师。**飞书攻防团队从事安全评估和漏洞挖掘工作

**余道清，字节跳动攻防工程师。**飞书攻防团队从事SDLC和白盒越权检测工作

02

抖音数据安全治理探索与落地实践

目前，抖音日活用户超6亿，抖音安全保障团队责任重大。议题将以实践案例的形式，分享抖音如何建立系统化检测机制，如何进行全面的防御与治理，如何寻求资源提升自动化检测能力。

**吉建-字节跳动攻防工程师。**主要负责漏洞及风险运营，提升自动化漏洞发现水位

03

浅谈SaaS产品漏洞攻防

云计算时代，SaaS产品的安全问题备受关注。本次演讲将分享云上真实漏洞挖掘案例，并结合自己的思考，探讨如何发现漏洞以及与以往漏洞挖掘的不同之处。同时，还将介绍如何判断漏洞的危害程度、常见的漏洞修复手段及绕过方式，最后关于SaaS产品漏洞整体的一个思考。通过本次演讲，您将了解到SaaS产品漏洞攻防的基本知识和技巧，以及如何保障云上应用的安全。

Lum14n，字节SRC核心白帽。字节SRC 2023年度第5名，同时曾多次获得百度、腾讯等SRC年度TOP10的荣誉，并拿到高质量漏洞收割机、守望先锋等称号。擅长RCE、SSRF、文件读取漏洞等多种漏洞类型，曾最高单月获得漏洞赏金30w+。

04

火山引擎测试技巧及安全治理分享

火山引擎业务上线ByteSRC以来，受到了广大白帽子关注，发现了很多精彩、价值很高的漏洞，为火山引擎平台安全建设做出了较大的贡献。同时也关注到部分漏洞，无法进行深入利用来证明漏洞影响，或者发现的一些问题实际是平台的正常功能设计。本次演讲主要针对日常SRC漏洞审核中遇到几类信息不对称问题进行分享，让白帽师傅漏洞挖掘过程能少走弯路，提升报告准确率；同时，本次分享也会和大家聊一聊内部的一些安全治理。

杨月，字节跳动攻防工程师，一直从事安全评估和漏洞挖掘工作，当前负责火山引擎官网、数据库相关产品安全。

05

Android安全演进漫谈

从2008年Android诞生开始到最新的Android 14，这个全球使用量最大的操作系统已经走过了15个年头，Google在安全机制上也做了非常大的投入。Android安全机制的演进对漏洞攻击者、防御者、业务安全从业人员都有着非常多值得学习和研究的内容，本文将历数这十余年的变迁，并讨论Android 14所带来的最新攻防形式变化。

Flanker（何淇丹）, 京东集团首席安全研究员，信息安全部实验室负责人，高级总监。Pwn2Own Mobile和PC双料冠军，黑客奥斯卡Pwnie Award最佳提权漏洞奖得主，Google、Samsung、华为安全名人堂成员。曾多次在BlackHat & DEFCON & CanSecWest & RECon & MOSEC等发表演讲。

报名沙龙看这里

6月2日14点，火山直播

第十期字节跳动“安全范儿”沙龙见！

扫码预约直播，即可参与抖音背包抽奖！

活动主办方

合作伙伴

关于安全范儿沙龙

由字节跳动安全与风控团队发起，用沙龙形式搭建行业桥梁，与安全从业人员进行技术交流、实践分享。帮助安全人才成长，共同完善生态，促进安全行业的有序运营和蓬勃发展。拓宽安全技术视野，亦是丰富美好生活。

Empower Security , Enrich Life！