各位同学： 很高兴能告诉您，第一届的OWASP官方亚洲会议将於9/27号在台北举行！ OWASP今年决定举办第一届OWASP官方亚洲年会，地点在台北举行，世界知名骇 客与资安人士将齐聚台北，全程将为英文演说，但投影片将有中文翻译。此次 会议完全免费，由OWASP台湾分会、资策会以及中华民国资讯软体协会共同主办 ，并由长期致力於提升台湾资安意识与产业的资安人杂志担任协办媒体。 由於此次为OWASP的官方亚洲年会，会议中不乏外籍讲师，但投影片将有中文翻 译，现场并有即时双语翻译，讨论与发问则不限语言。会议将於下午一点在台 大医院国际会议中心举办。 报名请洽 OWASP台湾分会：(02) 6616-0100或至以下网址注册： http://www.owasp.org.tw/owasp_asia_2007/ 详细会议议程请见： http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007 即时翻译之设备，目前正在接洽中，一旦确定工作人员会再寄email通知注册 者。 OWASP年会希望达到以下目的： 1. 由年会选出来的顶尖讲师，对於最新的攻击方法，防御技术，以及客户的 成功案例，提供最新资讯与经验分享。 2. 对於各界资安人士，包含各国OWASP成员，业界资安主管及IT从业人员， 各国政府、军方及情治单位，以及投入资安市场之厂商、代理商、系统整合商 以及顾问公司，提供一个交流的机会，让大家相互认识，分享经验以及交流技 术。 OWASP每年有两次官方会议，一次在欧洲，一次在美国。由於OWASP为Web资安 之最大国际组织，其所定义之标准被五大信用卡公司之PCI标准、美国联邦贸 易委员会、FBI、美国国土安全部，以及各国政府所采用，故OWASP每年之官方 年会，除了为年度世界资安顶尖人物必到之大会，更为各国政府，企业以及资 安产业必定派人参加之国际盛会。我国行政院研考会之 「Web应用程式安全参 考指引」，亦将OWASP Top 10列为重要参考标准。 由於独缺亚洲没有官方年会，近年亚洲各界皆反映希望能有 OWASP 官方年会， 经过OWASP台湾分会的各位伙伴极力称取，终於取得OWASP之同意，让OWASP的第 一届官方亚洲年会，能在台北举行，也因此所有OWASP讲师将飞至台北与会。此 次讲师皆为常在世界骇客年会Black Hat、Defcon中演讲之讲师，包括Jeremiah Grossman （今年Black Hat讲师）以及Mike Schema（Web Applications Hacking Exposed等七本资安着作）等人。 亚洲有能力承办此第一届官方会议之国家并不少，包括马来西亚，泰国，澳洲， 日本，都拥有丰富之举办大型国际资安会议之经验，其中许多也表示承接此次 活动之意愿。 会议能够在台北举行，一方面证明了台湾资安之能量，展现了台湾各指导机关 多年致力於资安意识之提升，各学术单位致力於资安基础与应用之研究，产业 界致力资安产品之研发与整合，以及媒体致力於各领域资安讯息之分析等之成 果；一方面也证明了，台湾在资安有其独特之政治与军事意义，由於对资安有 高於他国之需求，也造就了我们资安实力与经验之累积，能够在多年努力後， 开始与他国分享我们的成果。 最後最主要的，是大家踊跃的报名。您对於OWASP活动的支持，是这次会议决定 在台北举行之关键。因为这表示台湾有足够的人士，在关心资安的议题，在投 入资安的研究，使得OWASP决定，此次活动值得在台北举行。希望您能把握这次 机会，准时来参加活动，一方面从最顶尖的讲师接触最新的资安讯息，一方面 也与大家认识。 这次会议的设计，是希望在有限的时间内，能够涵盖到Web资安的最新资讯，以 及各种强化Web资安的方案。Jeremiah将探讨Web资安之新挑战：程式逻辑错误 。随着自动工具有效地降低如SQL injection，cross-site scripting等漏洞之 存在，Web之新挑战，也是骇客攻击之下一波重点，将是自动工具无法找出之逻 辑漏洞。Jeremiah将现场利用真实的例子，示范许多自动化工具无法检测的逻 辑漏洞，并探讨为何这些逻辑漏洞常常被QA团队所忽略。最後，Jeremiah也将 提出企业该如何有效地避免以及找出逻辑错误。 OWASP Top 10中举出的漏洞，许多都是九零年代就存在的。对於这些漏洞（例 如SQL injection或cross-site scripting），许多自动化的技术皆能够有效的 找出，可以节省企业许多成本。Mike将先探讨Web上究竟有哪些种类之漏洞？根 据他的分类，哪一些漏洞可以由自动工具准确找出，哪些则还需靠专业服务（ 人工）？应用程式防火墙又可以阻挡哪些攻击？Mike并将现场做许多新型攻击 之demo。 在自动工具中，源码检测是自动工具中最晚成熟的。这其中原因为何？源码检 测是如何做到的？与传统之黑箱技术比较，其效果又有多大的差别？该如何导 入？这方面由Wayne（黄耀文）来解说。 Jack将提供一场前所未见之演讲，比在骇客年会中更大胆，更详细地探讨传说 中的中国网军，包含过去网军之攻击事件，组成成员，攻击手法，任务目标， 技术水平，使用工具，以及往後预期之行动与攻击方向。Web-Based Malware是 网军最近最常用的攻击手法，Jeremy（Birdman）会详细的介绍最近新的Web- Based Malware攻击方式，以及防御技术的演进。 Daniel将以其多年担任企业CIO的经验，谈论站在客户的立场，面对资安的种种 攻击与数不完的各种工具、产品与服务，CIO想的是什麽，要的又是什麽？ 以下是部分讲师的简介： A.Jeremiah Grossman（WhiteHat Security创办人兼技术长、InfoWorld 2007年 最杰出25位技术长） 英文题目: The Next Challenge to Web Security: Business Logic Flaws 中文题目: 未来Web资安之大挑战：逻辑漏洞 （此演讲於本会议做第一次公开！） 国际演说: BlackHat Briefings, Defcon, RSA, ISACA, CSI, OWASP, Vanguard, ISSA 畅销书籍:XSS Attacks B.Mike Shema（Qualys首席资安研究员） 英文题目: Automated Tools: Are They Any Good for Enterprises? 中文题目: Web资安--企业如何有效利用自动工具？ 国际演说: Black Hat Briefings, Black Hat Training US / Europe, RSA, IT Underground, SACIS. 畅销书籍: Web Applications (Hacking Exposed) 等七本 C.Wayne Huang, 黄耀文 （Armorize Technologies 阿码科技创办人兼执行长） 英文题目: Secure Web Developing using Static Analysis 中文题目: 利用静态检测做好安全Web应用程式开发 国际演说: RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan 畅销书籍: Security in the 21st Century, 多篇顶尖IEEE/ACM国际论文 D.Daniel Hsu, 徐子文（美国运通全球安全部东北亚区安全经理、美国产业安全学 会ASIS International台湾分会会长、亚洲危机暨安全合作组织执行委员会委员） 英文题目: From a user perspective, what are CSOs' real concerns? 中文题目: 从使用者的角度出发，企业的安全长（CSO）要的是什麽？ 国际演说: 亚洲安全周、国际安全科技博览会(SecuTech Expo) 畅销书籍: 企业安全管理完全手册 E.Jack Yu, 余俊贤 (资安人杂志主编) Jeremy, 邱铭彰 （Birdman, X-Solve） 英文题目: Live in Battle: The NetArmy, Cross-Straight Digital Warfare, and Web-Based Malware 中文题目: 决战实况: 中国网军与海峡两岸资讯战与Web恶意程式 国际演说: 最後感谢您对OWASP以及OWASP台湾分会的支持，如果您还未报名此次活动，报名方式 如下： 1. 电洽OWASP台湾分会：(02) 6616-0100 2. 利用以下网址注册：http://www.owasp.org.tw/owasp_asia_2007/ 详细会议议程请见：http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007 黄耀文 敬上 OWASP台湾分会 会长 [email protected] http://www.owasp.org.tw --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 60.250.38.49