走进企业看安全】梆梆安全站——演变中的安全

2018-10-20

2018年10月20日下午2点，看雪走进企业看安全第16站梆梆安全站的活动，在北京正式开启。

首先，由梆梆安全的市场营销总监——李磊率领大家参观梆梆安全总部。

在分享的开始，本次活动的合作方，梆梆安全的CTO 陈彪先生，为大家发表致辞。

陈彪表示，梆梆安全自2010年成立以来就专注于移动安全领域，在业内率先提出“应用加固”的理念的同时还推出了可落地实施的技术、产品与解决方案。到如今，梆梆安全一直在引领着业界应用加固技术的发展，梆梆安全的客户更是遍布各大行业领域，“相信今天在座嘉宾手机里的某些应用就正处于梆梆安全的保护之下”。

现在，移动端的安全威胁在变得更为复杂，已经不能仅仅依靠加固这类的单点式安全防护方法，梆梆安全很早就已经发现了这一趋势，并陆续推出移动应用测评云平台、移动威胁感知平台、应用安全开发管控平台等产品，在更为严密应对来自外部安全威胁的同时，也解决在应用开发过程中所出现的各类安全隐患，实现对应用全生命周期的安全保护。

而面对已经近在眼前的物联网、人工智能、区块链等新兴领域的安全问题，梆梆安全也在致力于从代码安全层面，为这些领域里的各类控制程序、各类应用从其诞生之初就赋予足够的安全防护能力。

在主持人李磊热情洋溢的开场过后，进入今日活动的高潮——精彩议题演讲部分。

精彩演讲回顾

见所未见，非规则猫池精准识别

APP渠道推广和运营活动过程中，大量推广费用和活动费用被羊毛党薅走成为了让企业头痛的问题。我们基于群体异常分析和无监督机器学习的人机识别方案，可以精准发现非正常设备（比如猫池、手机墙、安卓模拟器等），达到了反薅羊毛目的，最终为企业节省了大量运营费用。这是我们在业务安全领域应用机器学习的一次成功案例。

演讲嘉宾：丁海星

嘉宾简介：

人人云图首席科学家，人工智能专家，北邮毕业，先后工作于中兴通讯、海量信息，国泰君安。主导多项AI和NLP产品。

典型业务逻辑漏洞介绍

业务逻辑漏洞是指业务系统在开发时代码有逻辑缺陷而导致的问题，这里介绍的典型业务漏洞是指通过漏洞扫描工具无法扫描出的、业务逻辑方面漏洞问题，包括：业务流程不严谨问题、密码找回问题、输入数据范围无判断问题、越权增删改查他人数据问题、身份认证问题等等。

业务逻辑漏洞虽然不像通用漏洞危害范围那么广，但危害程度却很高，并且安全防护产品无能为力，值得引起开发者以及管理者的重视。

演讲嘉宾： chasen

嘉宾简介：

chasen，东南大学硕士。毕业后，一直从事软件测评和信息安全测评工作。完成的主要工作包括：多项大规模信息系统安全测评、安全产品开发、信息安全测评资质获取等，取得了CISP、CISAW等安全人员认证，擅长web信息安全测评。

闻所未闻，惊人的三分钟通信协议

相比于WEB应用，移动应用在防护上得到加强，客户端与服务端的通信正在逐渐转向加密，这对渗透测试提出了挑战。为解决此类挑战，传统思路上需要脱壳、定位加解密代码、编写解密器，这不可避免要对抗加固、混淆，是移动应用渗透测试的难点。本议题提出了一种Man In The End的新方法，可以在几分钟内完成对通信协议的分析、加解密定位和再利用，此种方法无需源码也无需编写解密器。现场进行了演示，收到了广泛好评。

演讲嘉宾：刘一鸣

嘉宾简介：

梆梆安全资深渗透测试工程师，分析并测试过数十款银行金融类应用，涉及过车联网、IoT、区块链多个领域，对应用安全有独到的见解。

利用FUZZ工具SYZKALLER进行安卓内核漏洞挖掘

安卓内核为linux内核引入了新的内核模块以及不同厂商的驱动方案，这为系统内核引入了新的安全隐患。一直以来，智能手机系统提权问题一直是移动安全方向关注的焦点。本议题介绍如何利用谷歌开源工具syzkaller对安卓内核模块进行一个基于覆盖率的生成式fuzz测试,通过测试，可以对系统本身模块或者厂商驱动模块进行漏洞的挖掘。