2012年7月1日，知道創(chuàng)宇第一屆Web安全論壇Kcon在車庫咖啡成功舉辦。本次論壇的嘉賓均是在web安全行業(yè)的領軍人物，多年來長期從事Web安全研究和相關產品研發(fā)，在安全領域有著極其豐富的經驗。本次論壇共計四個議題，分別為：天融信安全研究中心阿爾法實驗室Xisigr帶來的《瀏覽器魔術》；知道創(chuàng)宇研究部總監(jiān)余弦?guī)淼摹禞avaScript安全從瀏覽器到服務端》；清華大學網絡與信息安全實驗室副研究員諸葛建偉老師帶來《"blue-lotus團隊defcon 20 ctf資格賽"回顧》以及知道創(chuàng)宇安全研究員hysia帶來的《Web Application Detector - 一種快速識別web應用程序的方法》。

 在演講開始，由知道創(chuàng)宇CEO趙偉(IC)和大家分享了我們所提倡的黑客精神：以創(chuàng)新改變世界。

??

[[84062]]

 在《瀏覽器魔術》議題中，演講者xisigr以一個驚艷全場的魔術開場，引出了議題的主題--瀏覽器魔術。該議題給大家展示了基于瀏覽器的各種欺騙手法，分別是URL地址欄欺騙、URL狀態(tài)欄欺騙、標簽欺騙和頁面欺騙四大類，各種欺騙形式讓參會者大開眼界。最后，xisigr以電影《致命魔術》的一句經典臺詞作為結尾："我們倆都是年輕人，要將自己獻身于偉大事業(yè)的開創(chuàng)， 我們是天生的魔術師，但我們不會用自己的天賦去傷害任何人。"

??

[[84063]]

第二位出場的是知道創(chuàng)宇的研究部總監(jiān)余弦。他帶來的議題是《JavaScript安全：從瀏覽器到服務端》，演講者結合自己多年來web安全研究的經驗，給大家分享了javascript在瀏覽器端的各種安全應用，并介紹了MongoDB和node.js中存在的一些安全問題，讓大家見識到了幾乎無所不能的JS。余弦在PPT中用一句很酷的話表達了自己的觀點："戰(zhàn)場有多大，我就能玩多大"，web就是余弦的戰(zhàn)場。

??

[[84064]]

這個議題引起了大家的興趣，很多同行們積極提問，演講者也做了相應解答。

接著出場的是清華大學的諸葛建偉，諸葛老師為大家介紹了Blue-Lotus黑客競賽戰(zhàn)隊參加Defcon 20 CTF資格賽的經歷，讓大家感受到了參加比賽時那種既緊張有興奮的心情。演講非常精彩，給大家講解了比賽中每道題的解題思路，都是些非常有意思的思路。演講中笑點也很多，現(xiàn)場氣氛很活躍。最后諸葛老師也用一句幽默的話來結束了此次議題："一黑黑一天，妹紙晾一邊；一黑又一天，黑友共爭先！"

最后，來自知道創(chuàng)宇的安全研究員hysia給大家分享了一種快速識別web應用程序的機制。該議題重點介紹了進行web應用指紋特征識別的方法和快速篩選識別規(guī)則的技巧，多個識別策略和技術細節(jié)，讓大家收獲良多。最重要的，這種無私的分享精神值得稱贊！

??

[[84065]]

嘉賓簡介：

Xisigr：天融信安全研究中心阿爾法實驗室，國內XEYE團隊成員：專注Web安全、Html5安全、瀏覽器安全。

余弦：知道創(chuàng)宇研究部總監(jiān)，長期從事Web安全研究與相關產品研發(fā)，這些年主要精力在Web Hacking上。XEYE成員。

諸葛建偉博士：清華大學網絡與信息安全實驗室副研究員。狩獵女神團隊負責人,The Honeynet Project Full Member & Chinese Chapter Leader。《網絡攻防技術與實踐》、《Metasploit滲透測試指南》等書籍作者。

Hysia：知道創(chuàng)宇安全研究員，長期從事掃描器開發(fā)和web安全研究，同時也是個python控。