[情报] 世界知名骇客将齐聚台北,第一届OWASP官方亚洲会议将于台北

楼主: waynehuang (Wayne)   2007-09-16 00:38:32
各位同学:
很高兴能告诉您,第一届的OWASP官方亚洲会议将于9/27号在台北举行!
OWASP今年决定举办第一届OWASP官方亚洲年会,地点在台北举行,世界知名骇客与资安人士将齐聚台北,全程将为英文演说,但投影片将有中文翻译。此次会议完全免费,由OWASP台湾分会、资策会以及中华民国资讯软件协会共同主办,并由长期致力于提升台湾资安意识与产业的资安人杂志担任协办媒体。
由于此次为OWASP的官方亚洲年会,会议中不乏外籍讲师,但投影片将有中文翻译,现场并有即时双语翻译,讨论与发问则不限语言。会议将于下午一点在台大医院国际会议中心举办。
报名请洽OWASP台湾分会:(02) 6616-0100或至以下网址注册:http://www.owasp.org.tw/owasp_asia_2007/
详细会议议程请见:http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007
即时翻译之设备,目前正在接洽中,一旦确定工作人员会再寄email通知注册者。
OWASP年会希望达到以下目的:
1. 由年会选出来的顶尖讲师,对于最新的攻击方法,防御技术,以及客户的成功案例,提供最新资讯与经验分享。
2. 对于各界资安人士,包含各国OWASP成员,业界资安主管及IT从业人员,各国政府、军方及情治单位,以及投入资安市场之厂商、代理商、系统整合商以及顾问公司,提供一个交流的机会,让大家相互认识,分享经验以及交流技术。
OWASP每年有两次官方会议,一次在欧洲,一次在美国。由于OWASP为Web资安之最大国际组织,其所定义之标准被五大信用卡公司之PCI标准、美国联邦贸易委员会、FBI、美国国土安全部,以及各国政府所采用,故OWASP每年之官方年会,除了为年度世界资安顶尖人物必到之大会,更为各国政府,企业以及资安产业必定派人参加之国际盛会。我国行政院研考会之 “Web应用程式安全参考指引”,亦将OWASP Top 10列为重要参考标准。
由于独缺亚洲没有官方年会,近年亚洲各界皆反映希望能有 OWASP 官方年会,经过OWASP台湾分会的各位伙伴极力称取,终于取得OWASP之同意,让OWASP的第一届官方亚洲年会,能在台北举行,也因此所有OWASP讲师将飞至台北与会。此次讲师皆为常在世界骇客年会Black Hat、Defcon中演讲之讲师,包括Jeremiah Grossman (今年Black Hat讲师)以及Mike Schema(Web Applications Hacking Exposed等七本资安著作)等人。
亚洲有能力承办此第一届官方会议之国家并不少,包括马来西亚,泰国,澳洲,日本,都拥有丰富之举办大型国际资安会议之经验,其中许多也表示承接此次活动之意愿。
会议能够在台北举行,一方面证明了台湾资安之能量,展现了台湾各指导机关多年致力于资安意识之提升,各学术单位致力于资安基础与应用之研究,产业界致力资安产品之研发与整合,以及媒体致力于各领域资安讯息之分析等之成果;一方面也证明了,台湾在资安有其独特之政治与军事意义,由于对资安有高于他国之需求,也造就了我们资安实力与经验之累积,能够在多年努力后,开始与他国分享我们的成果。
最后最主要的,是大家踊跃的报名。您对于OWASP活动的支持,是这次会议决定在台北举行之关键。因为这表示台湾有足够的人士,在关心资安的议题,在投入资安的研究,使得OWASP决定,此次活动值得在台北举行。希望您能把握这次机会,准时来参加活动,一方面从最顶尖的讲师接触最新的资安讯息,一方面也与大家认识。
这次会议的设计,是希望在有限的时间内,能够涵盖到Web资安的最新资讯,以及各种强化Web资安的方案。Jeremiah将探讨Web资安之新挑战:程式逻辑错误。随着自动工具有效地降低如SQL injection,cross-site scripting等漏洞之存在,Web之新挑战,也是骇客攻击之下一波重点,将是自动工具无法找出之逻辑漏洞。Jeremiah将现场利用真实的例子,示范许多自动化工具无法检测的逻辑漏洞,并探讨为何这些逻辑漏洞常常被QA团队所忽略。最后,Jeremiah也将提出企业该如何有效地避免以及找出逻辑错误。
OWASP Top 10中举出的漏洞,许多都是九零年代就存在的。对于这些漏洞(例如SQL injection或cross-site scripting),许多自动化的技术皆能够有效的找出,可以节省企业许多成本。Mike将先探讨Web上究竟有哪些种类之漏洞?根据他的分类,哪一些漏洞可以由自动工具准确找出,哪些则还需靠专业服务(人工)?应用程式防火墙又可以阻挡哪些攻击?Mike并将现场做许多新型攻击之demo。
在自动工具中,源码检测是自动工具中最晚成熟的。这其中原因为何?源码检测是如何做到的?与传统之黑箱技术比较,其效果又有多大的差别?该如何导入?这方面由Wayne(黄耀文)来解说。
Jack将提供一场前所未见之演讲,比在骇客年会中更大胆,更详细地探讨传说中的中国网军,包含过去网军之攻击事件,组成成员,攻击手法,任务目标,技术水平,使用工具,以及往后预期之行动与攻击方向。Web-Based Malware是网军最近最常用的攻击手法,Jeremy(Birdman)会详细的介绍最近新的Web-Based Malware攻击方式,以及防御技术的演进。
Daniel将以其多年担任企业CIO的经验,谈论站在客户的立场,面对资安的种种攻击与数不完的各种工具、产品与服务,CIO想的是什么,要的又是什么?
以下是部分讲师的简介:
A.Jeremiah Grossman(WhiteHat Security创办人兼技术长、InfoWorld 2007年最杰出25位技术长)
英文题目: The Next Challenge to Web Security: Business Logic Flaws
中文题目: 未来Web资安之大挑战:逻辑漏洞 (此演讲于本会议做第一次公开!)
国际演说: BlackHat Briefings, Defcon, RSA, ISACA, CSI, OWASP, Vanguard, ISSA
畅销书籍:XSS Attacks
B.Mike Shema(Qualys首席资安研究员)
英文题目: Automated Tools: Are They Any Good for Enterprises?
中文题目: Web资安

Links booklink

Contact Us: admin [ a t ] ucptt.com