2016·SSC安全峰会于9月23日在西安大唐西市酒店举办，期待已久的大会亮点也终于揭晓啦，由四叶草安全主办的SSC安全峰会是西部首届网络安全盛会，同时也是陕西省国家网络安全宣传周的重点活动之一，首届SSC安全峰会以《安全·传继》为主题，凝聚了全国网络安全行业的中坚力量，向年轻后辈传递了黑客的正能量精神，为安全行业输送人才，传递价值，与业界同行共同担起国家网络安全的重任。

四叶草安全的CEO马坤作为主办方代表现场致辞，马坤向大家传达了我们举办本次安全峰会的初衷。过去四叶草安全举办了SSCTF以及BugScan沙龙，面对一群单纯灵敏的安全爱好者，我深知他们面对未知方向的不知所措，而老一辈的安全爱好者们，经历过困难与挫折，但更重要的，是他们心中不曾磨灭的热情与坚持到底的勇气，他们的正能量精神，需要永远的传继下去。现场马坤还感谢了所有支持的本次大会的省委领导以及赞助商们，还有众多的安全同行、媒体及用户，我们希望能够将SSC安全峰会永远的坚持下去，并借此推动西部安全力量的快速发展。

四叶草安全BugScan社区负责人、 VP Yan
Yan现场向大家分享了过去一年里我们社区所做的事，Yan最开始只是我们社区的一名白帽子，从开始学习插件到后来成为社区的核心成员，最终，选择了留在四叶草安全。Yan以一个框架、两个开源、三个助手、12期擂台赛、佰万奖励总结了过去一年里社区的成长历程，当然，明年的社区将会有更好玩的擂台赛、更多的工具加入、更丰富的经历，以及更热心的社区，当然，这一切只为迎接更牛X的你，和我们一起变的更牛X。

最后，由Yan现场为社区做出突出贡献的白帽子们颁发荣誉证书：

他们分别是：M、Max、色豹、烽火戏诸侯、野地和尚

杨卿：《先定一个小目标》
杨卿说他从事这个行业是因为觉得黑客很酷，也很帅（但小编觉得他已经同时达到了这两点，害羞脸），他在现场通过自己在360独角兽团队的经历，来分享成就小目标的幸福感，他说，这个行业并不适合赚钱，但他可以让你的金钱与成就感达到平衡。只要保持热情，找一个领域，奔着你的小目标，耐心并坚持下去。

马杰《世界的蓝军》
在计算机发展的时代，每个人都有一个黑客梦，那么你内心的黑客是什么样呢？马杰说，黑客是网络的守护者，也是这个世界的免疫系统，过去我们心目中黑客的形象也在悄悄的发生着变化，他们向往信息自由的平等传播，在守护网络安全的道路上，坚定的扛起了责任。事实上我们将更需要黑客，他们作为世界的蓝军，将对网络安全发挥更大的作用。

黄胜蓝《基于深度学习进行数据防伪》
在互联网安全攻防中除了漏洞的挖掘与修复之外，数据的伪造与防伪也是重要的战场。
黄胜蓝现场分享如何利用深度学习进行HTTP协议UA字段的防伪为例进行讲解，他指出未来攻防对于数据的分析能力将愈发重要，正如深度学习在计算机视觉、自然语言处理等领域带来的革命一样，未来在安全领域也将会产生深远的影响。

赵帅《如何基于Janus平台发现wormable 》
赵帅现场分享了盘古团队近期的一个实验案例，他们通过Janus平台，经历了特征提取、扫描、深度分析后最终确认，发现了某安装量达数亿级的android浏览器存在严重远程命令执行漏洞，可导致静默安装任意应用。最后，希望Janus能成为你的一把屠龙宝刀。

小刀《webshell进化史》
小刀现场展示了几个流行的webshell,但是根据Webshell的返回包发现，具有学习以及双向检测能力的WAF可以封杀市面上大部分的Webshell,那如何跳过呢？可以通过以下思路：
1.无特殊关键词及变量名。
2.灵活用get,post等提交方式。
3.提交数据附加在HTTP头多个字段里，如cookie,UA等。
4.修改X-forwarded-for，UA头等，避免溯源。
5.只提交真正的需求，避免无谓的交互。
6.第三方中转，不从原路返回数据包。
7.双向传输加密，自定义加解密算法。
回到本次主题，究竟应该如何定义Webshell?

杨哲《BCBP登机牌安全》
杨哲现场演示了国内外登机牌的条码解析以及安全隐患及漏洞分析。小编为大家整理了隐患信息泄露的几大风险，1、通过PNR跟踪乘客信息；2、航空公司网站漏洞导致PNR等信息泄露；3、第三方接口查询；4、人为因素泄露。最后，希望大家在晒登机牌的时候，千万注意遮住条码，保护个人隐私安全。

魏强由其博士生代为分享《工业控制系统威胁现状与脆弱性分析》
现场介绍了工控系统面临的四个方面的威胁和五种主要的风险。重点分析近年来工控系统漏洞的整体发展趋势，从操作系统、应用软件、工控设备、代码设计、工控协议等5个方面进行分类介绍。从攻击者视角分析PLC攻击面，围绕运行时系统、文件系统、控制器管理系统、操作系统、固件等目标的分析攻击目的和意图。工控系统安全正经历从纵深防御到内生安全的演化，给出了一些动态防御的方法和思路。

朱利军《方程式CISCO ASA SNMP漏洞分析》
针对最近刚公布的CISCO ASA的SNMP漏洞进行详细的漏洞复现与分析，用逆向学习的思维通过公开的POC分析调试漏洞，介绍漏洞触发的真实原因，已经漏洞存在严重危害性的根本原因。通过对漏洞的复现，介绍了漏洞的具体细节和利用的条件。

圆桌对话

作为本次高峰论坛的高潮部分，六位大神（张百川、冰河、老鹰、林勇、黑客叔叔、张瑞冬）的同台让现场掌声不断，作为安全圈的前辈与新生代的代表们，他们现场讨论了如何挖掘安全研究的爱好，以及该怎样学习，各位大神通过自己的经历，给出了精彩的答案，当然提及最多的，就是兴趣与坚持，希望所有想要从事安全研究的人，都能踏踏实实的学习技术领域的系统知识，不怕枯燥，坚持下去，相信内心的小花火，都能得到满足。现场最后，前辈们也给出了年轻一代安全从业者的寄语，希望他们保持热爱，不忘初心。

与此同时插播现场挑战赛的盛况
5大展台（排名不分先后）
百度安全
360补天平台
SSCTF的FlappyPig团队（京东JSRC赞助支持）
CloverSec Labs
BugScan社区

本次2016·SSC安全峰会23日议程已经圆满的结束，感谢所有朋友对大会的支持，前辈们的正能量精神我们将继续传继下去，期待下次再见。