一、OWASP简介

OWASP是一个501c3非盈利的全球组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险做出更清晰的决策。

目前OWASP全球拥有250多个分会近7万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。

OWASP在业界影响力：

lOWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。

l国际信用卡数据安全技术PCI标准更将其列为必要组件

l为欧洲网络与信息安全局（ENISA), 云计算风险评估参考

l为英国GovCERTUK提供SQL注入参考

l为欧洲网络与信息安全局（ENISA), 云计算风险评估提供参考

lOWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。

OWASP中国拥有近6300名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展。

每个人都可以免费加入OWASP中国，利用免费和开放许可证获得OWASP的相关资源。

OWASP中国官网：http://www.owasp.org.cn

二、OWASP中国山西分会往期精彩

三、参与单位

指导单位：OWASP中国

承办单位：OWASP中国山西分会

山西网安信创科技有限公司

华盟信安

协办单位：西安四叶草信息技术有限公司

北京优特捷信息技术有限公司

Hackingclub

网安加社区

顺丰SRC

山西信思智学

四、OWASP山西分会网络安全论坛议程表

三、议题简介

嘉宾一：

沈炼，None安全团队创始人，华盟攻防实验室负责人，精通代码审计、内网渗透、WEB渗透、php、Python等语言。参与过多个护网、重保、攻防大型项目。微博SRC总榜第四、2020年度微博SRC季军奖杯，常年活跃于各大SRC漏洞挖掘。

议题一：IOS应用-安全保护对抗

随着移动互联网的快速发展，越来越多的敏感信息被储存在移动设备中。攻击者利用iOS应用中的漏洞，可能会导致用户的隐私泄露、账号被盗等风险。因此，为了保障iOS应用的安全性，开发人员需要采取一系列的安全保护措施，以对抗各种攻击手段。攻击者也在不断地绕过各种安全检测，才能正常分析网络请求挖掘漏洞，因此iOS应用的安全保护也需要不断地更新和升级

嘉宾二：

Wkong四叶草安全攻防组负责人，高级攻防专家，拥有十余年渗透经验。

议题二：科学“诈骗”之社会工程学在实战攻击中的妙用

社会工程学在实战攻击中的妙用及案例介绍，通过案例过程讲解，介绍社会工程学在实战攻击渗透过程中的应用，解读套路与反套路之间的变化。为大家提供攻防过程中的思路与技巧。

嘉宾三:

宋老师，网安加学院院长、网安加社区创始人，华中科技大学计算机科学硕士，曾任职：中兴通讯、任子行网络、全志科技城，质量与测试总监，参与多项安全开发相关国标的制定。

议题三:企业软件开源安全治理

开源软件安全治理是软件供应链安全核心要素，主要分享：当下企业开源安全面临的重要风险，及治理体系、工具与技术的最佳实践

嘉宾四：

杜卫普日志易资深技术专家，华北技术总监

20年运维、安全领域经验；拥有涵盖银行、证券、运营商、央企等多行业IT建设经验。

议题四：基于大数据的智能安全运营实践

嘉宾五：

周扬，就职于晋商银行，从事信息安全工作，曾就职于国内某安全公司，在银行业信息安全标准化、安全管理、风险管理、体系建设、平台建设、实战攻防、重要时期保障、课题研究、CTF等方面具备丰富经验。参与了《金融网络安全 Web 应用服务安全测试通用规范》及《金融网络安全网络安全众测实施指南》金融行业标准起草工作，山西省金融标准化专家。

获得荣誉：太原市第四届“晋阳工匠”；山西省首届网络安全职业技能大赛，获得企业行业组二等奖；太原市百万职工聚焦‘六新’助力转型”暨第十二届职工职业技能大赛网络信息安全组第一名并获得太原市个人一等功；太原市百万职工聚焦“六新”助力转型职业技能竞赛网络信息安全员竞赛第四名，并获得太原市个人三等功；山西省HW2020网络攻防实战演习，最佳防守单位成员，优秀防守人员。

议题五：网络电信诈骗应急处置经验分享

网络电信诈骗是诈骗分子利用人的信任、贪婪、防范意识低等特质，以“人”这一最薄弱的环节为突破，侵犯用户的隐私及财产安全。对待电信诈骗事件，企业需要从被动处置逐步向主动防御、积极对抗转变，提高安全防护与监测能力，做到防患于未然；需要加强安全事件的应急处置能力，积累处置经验，第一时间控制影响范围，减少客户损失，保护客户合法权益；需要做好安全知识宣传，提高公民防骗意识，内外联手，让不法分子无可乘之机。

嘉宾六：

fox，长期从事于金融行业的项目渗透和应急响应。曾负责某知名金融集团系统安全测试和基线检查整改。参与多次红蓝对抗，从web到内网，免杀到二进制，病毒app的逆向与破解均有深入研究，擅长于多种语言的工具研发。目前就职于山西信思智学担任信息安全高级讲师。

议题六：自研工具：提高渗透效率的必备武器

渗透测试是指模拟黑客攻击的技术手段，用于检测网络系统中的安全漏洞和弱点，从而提高网络安全水平。在渗透测试过程中，工具是攻击者的必备武器之一。目前市面上的渗透测试工具繁多，但是它们都存在一些局限性，例如无法完全覆盖目标系统的漏洞、易被防御系统检测等问题。因此，越来越多的渗透测试人员开始自主开发工具，以提高渗透效率和成功率。

本议题将探讨自研工具在渗透测试中的重要性和必要性，包括自研工具的开发流程、关键技术、实现方法、应用场景等方面的内容。同时，还将分享一些自研工具的案例和实践经验，以期为渗透测试人员提供一些有价值的参考和启示。

嘉宾七：

应宗浩，中国科学院信息工程研究所信息安全国家重点实验室。研究领域为可信人工智能，包括对抗攻防、后门攻防、隐私风险等。曾获全国网络空间安全技术一等奖、全国黑客马拉松冠军等奖项。参与国家级、省部级项目多项，发表高水平论文多篇。

议题七：面向深度学习模型的攻防对抗

本次议题分为三部分。第一部分介绍深度学习基础，第二部分探索主流的深度学习攻防对抗方法，第三部分分析近期的新型攻击范式，整个议题将同时结合理论与实战。我们从信息安全三要素，即机密性、完整性、可用性展开。在机密性方面，我们将会从模型、数据两个维度触发，探讨成员推理攻击、模型窃取攻击等隐私风险；在完整性方面，我们将会探讨数据投毒攻击、后门攻击等安全风险；在可用性方面，我们将探讨对抗攻击的带来的安全隐患。最后，针对以ChatGPT为代表的大模型，我们分析并研究前沿的Adversarial Prompt等攻击方法。