• Welcome To XCon2015.

    2015.8.18-19 Beijing

  • XReward 回馈日.

    2015.8.20 北京百富怡大酒店

    免费开放注册参加,XCon参会者可优先保证参加。

XCon2015演讲者 !

Jason Shirk

微软首席安全战略家,负责漏洞悬赏项目(简称ms/bugbounty)。他花了多年时间研究软件安全和用户数据隐私空间,并在Bell labs/Avaya负责渗透测试和端点安全,如今在微软负责整个安全生态系统战略项目。Jason经常在外部安全会议上演讲,同时为微软项目用户,构建安全软件产业,用户隐私等安全领域提供最前沿的咨询解决方案。



微软漏洞奖金计划:幕后的数据

<议题介绍>
微软漏洞奖金计划:幕后的数据

微软一直以来致力于同安全研究人员协作,这也是其安全机制中很重要的一部分。在漏洞研究和防护的生态系统里,漏洞奖励变得越来越重要。我们相信漏洞奖励将会随时间不断进化,而微软也将持续组织微软漏洞奖励计划。本议题中,我将讨论微软在漏洞奖励计划中的所见所学,剖析微软漏洞奖励计划背后的各种数据信息。

魏强(FunnyWei)

XFocus安全点焦点成员,XCon多届演讲者,博士。主要从事软件漏洞分析、工业控制系统安全、软件定义网安全等方向的研究。在操作系统、智能设备、云计算平台的漏洞检测发现等方面有较为深入研究,致力于符号执行技术、模糊测试技术、大规模分布式并行检测技术的研究与实现。近年来,重点关注于工业控制系统中的漏洞检测发现、SDN网络、车联网等安全问题研究。



构建软件脆弱性分析基础设施

<议题介绍>
构建软件脆弱性分析基础设施

从软件测试角度出发,针对精细化、规模化、逻辑化、可视化的问题,提出making a vulnerability,not finding a vulnerability的观点,构建基于探索、分析、定位的工作流水线。重点提供路径分析及探索能力,并给出相应的分析算法和相关成果演示。

钟晨鸣 (余弦)

知道创宇技术 VP,404 实验室负责人。长期专注 Web2.0 黑客,善于使用猥琐技巧拿下目标,深知黑客攻防的许多方式。安全与大数据的工业派实践者,带队打造 ZoomEye(钟馗之眼,网络空间搜索引擎),KCon 黑客大会组织者。喜欢跨界激发灵感。《Web前端黑客技术揭秘》作者。



隐蔽的战场—Flash Web攻击

<议题介绍>
隐蔽的战场—Flash Web攻击

在众多Web2.0攻击里,Flash Web攻击算是独树一帜了。本议题会完全剖析这类攻击的关键技术点;分享这类漏洞的众多利用思路,包括用户隐私获取、篡改、持久性权限劫持、蠕虫攻击等;还会分享这类漏洞的挖掘思路,包括相关工具打造。

桑胜田

博士,现任安天实验室微电子与嵌入式安全研发中心总经理,主要技术兴趣包括计算机及外设硬件安全、工业系统信息安全、嵌入式系统与物联网等。他是痴迷于技术的极客,工作和业余爱好都是硬件DIY和hack,他和他的团队多次在XCon等会议上展示硬件安全相关的工作成果。



“斯文扫地”的Evil Maid——一个扫地机器人引发的信息安全风险

<议题介绍>
“斯文扫地”的Evil Maid——一个扫地机器人引发的信息安全风险

科幻小说和未来学家所描绘的智能家居美好生活还未实现,但先期进入家庭的智能家电的信息安全风险却不容忽视。本议题展示了研究小组对几款智能扫地机器人的软硬件结构分析,阐述了可能存在的安全风险。报告将演示对扫地机器人的hack,希望以此引起各界对智能家居安全的重视。

陈小波(DM557)

盘古团队成员,超过12年安全行业从业经历,曾就职于启明星辰、Mcafee等安全公司,通过2014年美国杰出人才签证审核。研究领域涵盖漏洞挖掘和高级利用技术分析,高持续威胁攻击分析,iOS/OSX系统安全研究,安全产品核心模块设计。



漫谈iOS用户态与内核态的攻击面

<议题介绍>
漫谈iOS用户态与内核态的攻击面

本议题将回顾iOS系统中的各种潜在攻击面,分析现有主流攻击技术。针对一些尚未被大规模分析和研究的攻击面,例如用户态的xpc通信机制和内核态IOKit trap机制,本议题将介绍漏洞挖掘经验,分享一些iOS系统进程漏洞和一个内核越界访问的漏洞。

Lyon Yang

Lyon Yang 来自新加坡Vantage Point Security 公司,资深安全顾问,常年研究嵌入式系统的入侵和漏洞,Defcon演讲者,发现了众多路由器中的0day,为众多路由器设备检车固件源代码。近期正为基于ARM和MIPS架构的路由器做各类复杂的测试,发现了SOHO路由器的一些重要漏洞。



高级SOHO路由器利用

<议题介绍>
高级SOHO路由器利用

    本议题会研究如何利用一系列0day漏洞攻击数以万计台SOHO路由器。还会阐述此研究中所使用到的技术点——定位可利用路由,发现Oday漏洞,并在MIPS和ARM平台成功利用这些漏洞。 议题内容涵盖了:
  • 导出和分析运营商所提供路由器中的固件
  • 发现路由器漏洞的提示和技巧
  • 漏洞鉴定
  • 解释如何编写ARM、MIPS漏洞
  • 用来编写ARM、MIPS Proof-Of-Concept的ROP工具
  • 漏洞利用后的概念 - 富有创意的使用利用代码
  • 本议题涉及许多0day问题,可以利用这些枚举和入侵(远程ROOT)成千上万台家用路由器。

nEINEI

Bytehero Team成员,Intel Security/McAfee Labs安全研究员。Bytehero未知病毒检测引擎设计者之一,VirusTotal /OPSWAT平台BDV反病毒引擎提供者。拥有多年信息安全领域研究经验。感兴趣方向:病毒/漏洞研究,反病毒引擎设计,网络攻击技术,逆向工程等。曾在XCon2014, XCon2013, XCon2010, AVAR2012, CanSecWest2014等国际安全会议上发表过议题演讲。



应用层持久化攻击技术

<议题介绍>
应用层持久化攻击技术

我们主要通过讨论3个方面问题来解析应用层持久化攻击的问题1)COM劫持2)注册表隐藏3)MSI利用。我们将探讨持久化技术被应用的本质以及当前我们为何难于防御的问题。 在新兴起的威胁趋势中我们以传统的技术配合云端安全,信誉体系做相应的防护,但在有针对性的定向的攻击当中,我们处于防御的弱势地位。持久化攻击技术造成了对终端安全软件的各种穿透,这是攻击者在严密攻防体系下所走的必然的道路。它是对目前所有终端防护功能的最大冲击之一。

杨卿(Ir0nSmith)

360独角兽团队(UnicornTeam)负责人。国内首个地铁无线网(Wireless)与公交卡(NFC)安全漏洞的发现及报告者。2015年315晚会WiFi安全环节的“网络安装工程师”及后台技术负责人。他带领团队打造了360天巡-WIPS、NFC卡防、安全充电等极客防护产品。Defcon演讲者。Defcon23黑客大会有其团队3个安全演讲,分别为GPS Spoofing、Zigbee Hack、GPRS Hijack。



GPS定位系统也会"骗人"

<议题介绍>
GPS定位系统也会"骗人"

GPS欺骗并不是新鲜的攻击思路,它可以对很多系统造成巨大的影响,小到汽车、无人机,大到游艇、轮船的导航系统,甚至还有金融交易系统、移动通信基础设施的授时系统。早在2011年,伊朗军方就成功利用此技术劫持了美国的军用无人机。过去,购买一个商用GPS信号模拟器需花费数百万元人民币。而现在,通过SDR设备并加上一些coding就能实现GPS信号的生成,所以在当今时代,GPS欺骗已不在是军方人员才能实现的攻击技术,安全研究人员、黑客都可能通过民用SDR设备,以很低成本地发起一次GPS欺骗攻击。本议题会揭示如何通过一点一点的摸索实践,通过SDR设备成功制造了真实有效的GPS信号的详实技术思路,并将演示在此欺骗攻击技术下,各种依赖于GPS定位系统的设备会面临何种安全风险。本议题会讲述之前从未发表过的内容。

阎文斌(玩命)

玩命,终年从事计算机病毒,软件保护壳,密码学研究。看雪论坛安全编程版主,娜迦信息科技CTO。曾在XCon,XKungfoo等安全会议上发表过议题演讲



二进制指令编译器的原理以及在Android原生层的应用

<议题介绍>
二进制指令编译器的原理以及在Android原生层的应用

议题的前半部分介绍了二进制指令编译器,以及它的工作原理,从确定体系结构开始,拆解目标文件结构(ELF、PE、MACH-O),找出共同的属性并提取文件结构模型,分析二进制代码按照不同体系结构建立指令模型,通过指令模型将现实存在的不同系统结构(X86、ARM、MIPS等)统一转化为自有虚拟伪汇编代码。并根据文件结构模型完整还原出其虚拟伪汇编代码源文件,随后使用伪代码汇编器进行重编译,编译过程中根据指令生成模版对其进行输出控制,最终生成一套在原有逻辑不变的情况下具有反逆向分析的真实二进制指令代码。

崔孝晨(Hannibal)

网名Hannibal,team509安全研究小组创始人之一,从事逆向工程及计算机取证十余年。翻译出版《软件加密与解密》等书籍,2008年Xkungfoo演讲者(《raid5 internals:利用信息熵探索raid5的内部结构与错误恢复机制》),2012年XCon演讲者(文件分析Vs文件系统分析——一种新的数据恢复方法)2013年xkungfoo演讲者《from 1day to forensic》。



模仿游戏

<议题介绍>
模仿游戏

敏感数据的擦除一直是一个重要的安全问题,攻击者也会尽力尝试恢复用户的敏感数据。目前在擦除这些数据时,存在误区。特别是当数据是经过CBC等误差扩散的加密模式加密时,特别容易误用某些密码学原理。文中将结合基于文件的恢复技术以获取某知名软件中用户登录凭据的例子,对此问题展开讨论,并提出解决方案。

XCon2015 会场: 北京百富怡大酒店
北京百富怡大酒店

地址:北京东城区东直门外大街南二里庄19号

XCon2015会场:聚福厅

XCon2015会场:北京百富怡大酒店二层聚福厅

百富怡酒店酒店大堂

进入酒店大堂后右侧扶梯上二楼至聚福厅

XCon2015会议日程
2015年8月18日 星期二
时间演讲者议题
8:30-9:30注册签到
9:30-9:40开幕词
9:40-10:40魏强构建软件脆弱性分析基础设施
10:40-11:40NEINEI应用层持久化攻击技术
12:00-14:00午餐
14:00-15:00杨卿GPS定位系统也会"骗人"
15:00-16:00Lyon Yang高级SOHO路由器利用
16:00-16:30休息+茶歇
16:30-17:30崔孝晨 (Hannibal)模仿游戏
2015年8月19日 星期三
9:30-10:30Jason Shirk微软漏洞奖金计划:幕后的数据
10:30-11:30余弦隐蔽的战场—Flash Web攻击
12:00-14:00午餐
14:00-15:00玩命二进制指令编译器的原理以及在Android原生层的应用
15:00-16:00陈小波(DM557)漫谈iOS用户态与内核态的攻击面
16:00-16:30休息+茶歇
16:30-17:30桑胜田“斯文扫地”的Evil Maid——一个扫地机器人引发的信息安全风险
我们的延伸

XCon安全焦点信息安全技术峰会

XCon安全焦点信息安全技术峰会是国内最知名、最权威、举办规模最大的信息安全会议之一,在全世界具有一定的影响力。十几年来,XCon秉承一贯的严谨求实作风,广邀国内外信息安全界的专家、信息安全工作者、信息安全爱好者欢聚一堂,努力打造一个友好和谐的交流平台。

每年夏天XCon都会如约而至,与您相约在文明古国的首都——北京。届时,会有来自全世界的信息安全专家、学者、研究员以及相关专业人士受邀参会,并发表演讲。会议将广泛涉及各领域和新兴领域的信息安全技术,并做全面深入的探讨和研究。如果您有新的技术、新的发现或是某些领域获得的成功经验,欢迎您在XCon与我们分享。

这里仅仅是一场技术的盛宴!欢迎您与我们共进步!

议题投稿请发送至:cfp@huayongxingan.com XCon2015 议题征集函

XFocus Team 安全焦点

安全焦点始建于1998年,中国最早的非盈利、提供免费技术文献的安全站点。始终致力于研究和论证一些涉及网络服务和通信安全领域中的漏洞,希望通过使用全新的技术手段来实现我们的目标,同时扩大我们的眼界。与此同时,通过奇妙的互联网,彼此交流,互助成长。


去安全焦点看看

XReward安焦回馈日

在我们成长的这些年,我们从互联网获得了太多的东西,知识、朋友、事业、机会、金钱等等,我们希望通过我们的力量为互联网做点什么回报互联网对我们的给予。这就是“From Internet , For Internet"的内涵和意义。XReward就是我们对互联网的一种回馈表现形式,能做多少做多少,能做多好做多好,自然的获得也自然地回馈!

2015年8月20日,在北京百富怡大酒店举行XReward回馈日,我们会邀请安全焦点成员和若干位业内大咖进行技术和经验分享。既然是回馈日,开放注册,全部免费,不收取任何参会费用。


去XReward看看

xKungfoo

xKungfoo 是XCon组委会组织主办的中国人自己的安全技术讨论会议。xKungfoo专注于现今流行的安全技术话题,以及深入的黑客和防护技术讨论,演讲者与参会者必须为中国人。仅面向国内广大安全技术和黑客技术爱好者召开,力争为国内安全技术爱好者提供一个可以轻松参与的交流平台。这里是一个老友再聚首、结交新朋友和新人展示自我的盛会!让我们共同提高,共同推动中国安全技术、黑客技术和防护技术的发展!


去xKungfoo看看

xMyth 神话-信息安全人才颠覆行动

神话xMyth-信息安全人才颠覆行动,旨在通过特训的方式在短时间内选拔训练出信息安全的实用高端人才,推动信息安全人才培养,吸引更多的信息安全爱好者,专业的投入到信息安全事业中来,推动信息安全产业快速发展。


去神话看看

KCon黑客大会

KCon,知道创宇出品,追求干货有趣的黑客大会。 知道创宇是一家黑客文化浓厚的安全公司,我们乐于分享我们的成果。不仅如此,每届 KCon,我们都力求给每个演讲者打造一个能尽情展示其黑客过程的平台。 追求干货有趣是 KCon 的永恒宗旨

XCon已经于2015年正式与KCon合作,支持KCon发展,打造中国信息安全盛事!


去KCon看看

Geekpwn 极棒

Geek,极客,狂热喜爱技术的一群人。Pwn,安全领域专有名词,通常意指突破安全限制。GeekPwn,中文极棒,是一个展示的平台,一个给具备非凡Geek思维的极客展示如何PWN掉我们身边智能设备的展示平台。GeekPwn是全球首个关注智能生活的安全极客嘉年华,它不是比赛或者竞赛,它是一个由民间安全社区发起的、让民间极客们挑战技术和自我的国际化、开放的年度极客盛会。为了给潜在的极棒的Geek充分的技术研究和准备时间,GeekPwn 2014从开始报名到举办活动有三个月时间,最后将于10月24日在中国北京举行。GeekPwn由KEEN主办,XCon协办,评委和顾问团主要由当今全球信息安全领域最优秀的华人组成,已经做好为出类拔萃的极客颁发充分尊重智慧成果的奖励的准备。


去极棒看看
注册
  • 费用明细:
  • 以下费用(含税)包括(2015年8月18日至19日)两天会议的入场券、两天的午餐、茶歇,会议资料和纪念品。其他费用需自理!
  • 注:
  • * 注册成功日期以汇款发出日期为准!
2015年8月1日前
注册并付款
2015年8月10日前
注册并付款
2014年8月18日会场
注册并付款
¥3500/人¥4000/人¥4500/人
  • 请按照如下内容发送电子邮件至xcon@huayongxingan.com,主题为:XCon2015注册
  • 姓名,邮箱地址,所在国家,所在城市,公司,详细地址,联系电话,特殊饮食(没有、素食、回民)。
  • 注册信息务必填写完全且真实,以便我们将为您邮寄参会证。
  • 如需预定会议酒店房间,可通过XCon会务组预定,您将获得更优惠的价格:  XCon2015房间预订
往届会议
  • XCon2014 安全焦点信息安全技术峰会
  • 2014年10月24至25日安全焦点第十届技术峰会XCon2014在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2013 安全焦点信息安全技术峰会
  • 2013年8月22至23日安全焦点第十届技术峰会XCon2013在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2012 安全焦点信息安全技术峰会
  • 2012年8月15至16日安全焦点第十届技术峰会XCon2012在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2011 安全焦点信息安全技术峰会
  • 2011年9月1至2日安全焦点第十届技术峰会XCon2011在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2010 安全焦点信息安全技术峰会
  • 2010年8月4至5日安全焦点第九届技术峰会XCon2010在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2009 安全焦点信息安全技术峰会
  • 2009年8月18至19日安全焦点第八届技术峰会XCon2009在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2008 安全焦点信息安全技术峰会
  • 2008年11月18至19日安全焦点第七届技术峰会XCon2008在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2007 安全焦点信息安全技术峰会
  • 2007年8月28至29日安全焦点第六届技术峰会XCon2007在北京召开。来自世界各地的300多位朋友参加此次会议。
  • XCon2006 安全焦点信息安全技术峰会
  • 2006年8月22至24日安全焦点第五届技术峰会XCon2006在北京召开。来自全国各地(包括香港、台湾)及美国、英国、韩国、日本、泰国、法国、新加坡等国的300多位朋友参加了此次会议。
  • XCon2005 安全焦点信息安全技术峰会
  • 2005年8月18至20日安全焦点第四届技术峰会XCon2005在北京召开。来自全国各地(包括香港、台湾)及美国、德国、泰国、法国、新加坡、马来西亚的200多位朋友参加了此次会议。
  • XCon2004 安全焦点信息安全技术峰会
  • 2004年9月16至18日安全焦点第三届技术峰会XCon2004在北京召开。来自全国各地(包括香港、台湾)及美国、马来西亚、泰国、法国、吉尔吉斯坦的100多位朋友参加了此次会议。
  • XCon2003 安全焦点信息安全技术峰会
  • 2003年12月27日至29日安全焦点第二届技术峰会XCon2003在北京龙脉温泉度假村顺利召开。来自全国各地(包括香港、台湾)及泰国、法国、吉尔吉斯坦的100多位朋友参加了此次会议。会议期间Xfocus Security Team正式发布了网友期待已久的Xscan3.0漏洞扫描器
  • XCon2002 安全焦点信息安全技术峰会
  • 2002年12月28日,安全焦点在朋友们的支持下,在北京市郊的一处幽静的酒店拉开了第一届“信息安全技术焦点峰会”的序幕。与会的有来自全国各地甚至香港的技术朋友,为期两天半的会上共进行了十二场主题演讲和一次内容丰富的技术讨论。