以下文章来源于字节跳动安全中心 ,作者下周直播见的
随着互联网的高速发展,新技术不断涌现,同时也带来了各种漏洞隐患。白帽子群体是协助企业保护、防止数据泄露、减少网络犯罪等不可或缺的力量。
6月2日,我们将邀请到来自抖音、飞书、火山引擎、京东的安全专家及字节核心白帽代表,共同贡献一场关于白帽技术、成长和福利的盛宴。分享拥有亿万用户的业务如何进行风险防御,展示不同视角下的漏洞挖掘与治理,上演“白帽”和“审核”的现场“对决”,公布ByteSRC最新的成长体系奖励计划。精彩即开,敬请期待。
沙龙亮点抢先看
抖音、飞书、火山引擎三大业务安全实践悉数奉上
办公安全、数据安全等治理难题解析及案例分享
京东首席安全研究员Flanker细数安卓安全变迁
字节核心白帽Lum14n展示云上漏洞挖掘技巧
“审核”师傅亲自下场为SRC漏洞挖掘划重点
ByteSRC继漏洞单价提升至4.5w后又有大动作
议题详情抢先看~
01
飞书越权漏洞检测及SRC挖掘方向建议
随着远程办公的日益普及,企业办公安全面临着巨大挑战。飞书作为保障数万人高效协作的办公工具,既服务于字节跳动也服务于外部客户,它的安全尤为重要。本次议题将分享飞书历史漏洞情况及治理过程,更有给SRC白帽的高效漏洞挖掘指南。
**刘卧野,字节跳动攻防工程师。**飞书攻防团队从事安全评估和漏洞挖掘工作
**余道清,字节跳动攻防工程师。**飞书攻防团队从事SDLC和白盒越权检测工作
02
抖音数据安全治理探索与落地实践
目前,抖音日活用户超6亿,抖音安全保障团队责任重大。议题将以实践案例的形式,分享抖音如何建立系统化检测机制,如何进行全面的防御与治理,如何寻求资源提升自动化检测能力。
**吉建-字节跳动攻防工程师。**主要负责漏洞及风险运营,提升自动化漏洞发现水位
03
浅谈SaaS产品漏洞攻防
云计算时代,SaaS产品的安全问题备受关注。本次演讲将分享云上真实漏洞挖掘案例,并结合自己的思考,探讨如何发现漏洞以及与以往漏洞挖掘的不同之处。同时,还将介绍如何判断漏洞的危害程度、常见的漏洞修复手段及绕过方式,最后关于SaaS产品漏洞整体的一个思考。通过本次演讲,您将了解到SaaS产品漏洞攻防的基本知识和技巧,以及如何保障云上应用的安全。
Lum14n,字节SRC核心白帽。字节SRC 2023年度第5名,同时曾多次获得百度、腾讯等SRC年度TOP10的荣誉,并拿到高质量漏洞收割机、守望先锋等称号。擅长RCE、SSRF、文件读取漏洞等多种漏洞类型,曾最高单月获得漏洞赏金30w+。
04
火山引擎测试技巧及安全治理分享
火山引擎业务上线ByteSRC以来,受到了广大白帽子关注,发现了很多精彩、价值很高的漏洞,为火山引擎平台安全建设做出了较大的贡献。同时也关注到部分漏洞,无法进行深入利用来证明漏洞影响,或者发现的一些问题实际是平台的正常功能设计。本次演讲主要针对日常SRC漏洞审核中遇到几类信息不对称问题进行分享,让白帽师傅漏洞挖掘过程能少走弯路,提升报告准确率;同时,本次分享也会和大家聊一聊内部的一些安全治理。
杨月,字节跳动攻防工程师,一直从事安全评估和漏洞挖掘工作,当前负责火山引擎官网、数据库相关产品安全。
05
Android安全演进漫谈
从2008年Android诞生开始到最新的Android 14,这个全球使用量最大的操作系统已经走过了15个年头,Google在安全机制上也做了非常大的投入。Android安全机制的演进对漏洞攻击者、防御者、业务安全从业人员都有着非常多值得学习和研究的内容,本文将历数这十余年的变迁,并讨论Android 14所带来的最新攻防形式变化。
Flanker(何淇丹), 京东集团首席安全研究员,信息安全部实验室负责人,高级总监。Pwn2Own Mobile和PC双料冠军,黑客奥斯卡Pwnie Award最佳提权漏洞奖得主,Google、Samsung、华为安全名人堂成员。曾多次在BlackHat & DEFCON & CanSecWest & RECon & MOSEC等发表演讲。
报名沙龙看这里
6月2日14点,火山直播
第十期字节跳动“安全范儿”沙龙见!
扫码预约直播,即可参与抖音背包抽奖!
活动主办方
合作伙伴
关于安全范儿沙龙
由字节跳动安全与风控团队发起,用沙龙形式搭建行业桥梁,与安全从业人员进行技术交流、实践分享。帮助安全人才成长,共同完善生态,促进安全行业的有序运营和蓬勃发展。拓宽安全技术视野,亦是丰富美好生活。
Empower Security , Enrich Life!
