2008 OWASP亞洲資安年會

今天甲胖去參加了亞洲資安年會 ─ OWASP亞洲官方年會，去年僅有半天的議程，今年擴大規模到兩天全天活動，課程內容主要針對Web軟體弱點觀念及技術分析演講，實在收穫良多。

開放網站軟體安全組織（OWASP）為一非營利資安單位，專注網路安全的技術、趨勢。去年首度來台舉辦亞洲資安年會，不過議程只有半天。今年擴大規模舉辦，更將國外講師陣容從2位擴大到9位。

另外，甲胖有點小小抱怨一下。由於原本會議地點訂在台大醫院國際會議中心，但於星期五當日上午才緊急發eMail告知我們這些與會人員，實在有點倉促，如果星期五休假的朋友，不就不知道改地點了？再加上報到程序上似乎不太完善，一早甲胖到場就搞的糊裡糊塗，搞不清那邊是報到區(1樓大廳)，那邊才是領翻譯耳機的地方(會場外)，甲胖就看到有人排完領翻譯耳機區，工作人員才告知要到一樓大廳辦理報到，流程上的疏忽，OWASP台灣分會會長黃耀文(Wayne)有在開場時說明，它們基於人力短缺所造成的困擾而深感抱歉。

不過，甲胖還是很期待明日SecTheory執行長Robert Hansen以及其他大師的演講，希望能多看到實機模擬操作，增廣見聞。鑑於可能會有版權問題，所以甲胖亦不方便將會場上拍的照片或攝影傳上網給各位朋友觀看，實在很抱歉。如果有興趣的朋友，可注意OWASP台灣部落格下次年會報名日期，但是原本去年是免費與會，此次需要收費台幣1000元，不過甲胖認為它是值得的(如果公司注重資安的話可向公司報公費參加)，OWASP絕對能帶給您不一樣的感受，讓我們都能學到許多資安觀念。

OWASP此次議題主要內容為：
1. 對於最新的 Web 攻擊手法，有深入的技術性探討，讓使用者也讓廠商能瞭解新的攻擊趨勢。
2. 對於防守的策略，能找到在技術上有深度，並且不帶廠商色彩的講師，對於各方面的技術，如滲透測試、黑箱或 WAF 等，都能涵蓋。
3. 站在廠商的角度，對於整個資安產業的趨勢，站在使用者的角度，對於各種技術的比較，能有具公信力的資深產業分析師來探討。
4. 對於透過 Web 的網路犯罪，能有資深的檢調單位代表來分享經驗。

課程表：
( 2008/10/27 ) - Day 1 第一天
我在 Foundstone 的日子：Web 威脅與防禦實例 - YM Chen 陳彥銘
網站掛馬研究：Web 惡意程式寫法與偵測技術大公開 - Wayne 黃耀文
修改密碼無效！駭客還是在收取您的電子郵件！ - 林佳明
Web 應用程式主動與被動式防護比較 Frank Fan - OWASP 中國分會副會長
網路犯罪研究與五千萬筆個資外洩事件調查建議 - 叢培侃 PK
網站被駭的真實故事集（英文） - Fyodor
Web proxy 造成的資安威脅：以近日 Google Docs 0-day 為例（英文） - Tim Bass OWASP 泰國分會會長


( 2008/10/28 ) - Day 2 第二天 （全天英文）
Web 0day 大威脅：Clickjacking（九月OWASP美國年會禁講） - Robert RSnake Hansen
Web 2.0時代各種資安技術比較與市場分析 - Chenxi Wang, Ph.D.
瀏覽器威脅大解剖（英文） - Dhruv Soi & Pukhraj Singh OWASP 印度年會主席
如何做好商業滲透測試（今年 OWASP 印度年會演講） - KK Mookhey OWASP 孟買分會
Web 防火牆（WAF）最佳實務指引 - Alexander Meisel OWASP 德國分會
Web 上之殭屍網路與 DDoS 研究 - Steven Adair

OWASP官方網站：http://www.owasp.org/index.php/Main_Page
OWASP台灣部落格：http://owasp.org.tw/blog/

相關新聞：
Clickjacking發現者來台灣首度揭露攻擊細節
Messenger連線不穩　小心駭客機器人入侵
OWASP亞洲年會開跑　聚焦網路安全議題
OWASP擴大亞洲資安年會　來台講師大有來頭

隨機文章