看過來：第六屆安全開發者峰會上的安恒信息技術干貨

10月23日，看雪第六屆安全開發者峰會（簡稱SDC）于上海成功舉辦。本次大會以“共建安全新生態”為主題，聚焦數字化升級時代下網絡安全的新技術、新發展，探索新安全路線，共建更開放、更包容、更有活力、更有韌性的新安全生態。安恒信息雷神眾測安全專家蔡致遠，獵影實驗室、衛兵實驗室高級安全專家金權受邀出席會議，并發表主題演講，與現場眾多安全從業者與高端技術人員共同探討前沿網絡安全攻防策略研究。

在金融行業嚴格且特殊的安全體系下，盡管絕大多數漏洞都能被第一時間定位及修復，但“人性的弱點”使金融行業的不可控風險不再局限于釣魚，隱蔽的邏輯漏洞正在悄無聲息的成為風險“頂流”。針對這個情況，蔡致遠分享題為《從應用場景看金融安全 — 邏輯為王》的主題演講。他表示，多個功能點組成一個應用場景，只要存在應用場景，就會存在未知漏洞。他結合諸多金融行業真實脫敏案例，將應用場景關聯金融安全，著重分析在特定應用場景下多個功能點相結合造成的邏輯漏洞。通過使用傳統滲透測試與基于應用場景滲透測試相結合的測試手法，有助于提升金融系統的安全性，降低業務風險。

金權發表題為《貓鼠游戲：如何進行Windows平臺在野0day狩獵》的主題演講，從Office在野0day狩獵和Windows本地提權在野0day狩獵兩個方面，分享了對Windows平臺在野0day狩獵的一些思考和實踐。首先講述了如何使用不同的工具來解決不同的問題，一是如何借助沙箱來狩獵Office在野0day，二是如何借助YARA來狩獵Windows本地提權在野0day。隨后，議題對近兩年的熱門Office在野0day和Windows本地提權在野0day進行了案例分析。最后分享了一些如何培養此類0day狩獵人才的建議。

據了解，SDC是由擁有22年悠久歷史的信息安全技術綜合網站——看雪主辦，會議面向開發者、安全人員及高端技術從業人員，是國內開發者與安全人才的年度盛事。SDC圍繞前沿技術，議題覆蓋IoT安全、移動安全、惡意軟件、AI安全、工控安全、軟件保護等多個領域，始終秉持“技術與干貨”的原則，致力于建立一個多領域、多維度的高端安全交流平臺，推動互聯網安全行業的快速成長。

安恒信息擁有一支業界領先的安全研究團隊，聚焦網絡安全前沿技術預研，多年來在大數據安全、云安全、物聯網安全、人工智能、數據加密領域等輸出多項重要研究成果，持續開展漏洞挖掘、威脅情報分析、攻防對抗研究等，助力網絡安全產業發展。同時將技術能力賦能公司的產品與服務，為廣大客戶筑牢數字轉型的安全底座。