OWASP 第二屆亞洲官方年會10月27-28日登場

本文作者:admin       點擊: 2008-10-24 00:00
前言:
OWASP ( Open Web Application Security Project) 第二屆亞洲官方年會將於10 月27 至28  日在台北舉辦,OWASP 是一個國際公開推廣網站應用軟體安全的非營利組織,宗旨在於研究最新資安攻擊,提供研究報告與相對應之免費開放源碼解決方案,讓決策人員能正確了解相關的風險,也讓資安工作人員與程式開發人員能有開放源碼的工具可以對抗威脅。OWASP 所訂的 Web 前十大威脅「OWASP Top 10 」,為各國政府採用,也被業界之標準如 PCI(五大信用卡公司聯合標準)與  OCC  (Office of the Comptroller of the Currency ,美國財務部)等。中華民國行政院研考會「Web 應用程式安全參考指引」,也倡導應於網站的徵求建議書(RFP)與驗收階段涵蓋最迫切的OWASP 資安弱點。 

這次會議一共有 18 位外籍講師以及各國 OWASP分會領袖參與。現今網路犯罪氾濫其中部分原因是網站不夠安全所致,因此,在本次會議中將邀請專家講師聚焦探討「Web 2.0 時代各種資安技術比較與市場分析」、「網路犯罪研究與五千萬筆個資外洩事件調查建議」、「網站被駭的真實故事集」、「網站掛馬研究」、「Web上之僵屍網路與 DDoS  研究」等議題,以及防護面的「Web  威脅與防禦實例」、 「Web應用程式主動與被動式防護比較」、「如何做好商業滲透測試」等最新的演講內容。 

OWASP 全球已經有超過 130個分會,台灣分會的會長為黃耀文先生(Wayne Huang )。會中另外兩個重頭戲則是10 月27  日「OWASP  亞洲領袖會議」由來自亞洲各國的OWASP 分會代表,首次在台灣進行高峰會議,包含中國、香港 、印度德里、印度孟買、泰國、越南、新加坡與韓國分會代表出席參與。在經濟部工業局的指導以及資策會、中華資訊軟體協會的大力推動下,可以說是寫下推動主辦國際化與非官方組織交流的重要里程碑,是亞洲有史以來最大的 OWASP  活動!其次,10 月28 日「Web Security  論壇:  黑箱、 白箱、還是 WAF防火牆?工具好還是顧問好?」將由與會專家探討現在資安環境及用戶心中最常見的卻頗具爭議的問題,預期將有一番各方看法的唇槍舌戰,精彩可期。 
。 

中文活動議程 http://owasp.org.tw/blog/ 

英文活動網站 http://www.owasp.org/index.php/OWASP_AppSec_Asia_2008 

地點:  台北國際會議中心 TICC 三樓大會堂 (台北市信義路五段一號) 



電話 : 6616-0100#405 

EMAIL: jack 在owasp.org.tw 

OWASP ( Open Web Application Security Project) is a worldwide free and open 

community focused on improving the security of application software. Our mission is 

to make application security "visible," so that people and organizations can make 

informed decisions about application security risks. http://www.owasp.org 
附件一、議程與議題內容 

 今年的重頭戲,當然是 Robert 在今年 2008 OWASP 美國年會的演講被禁講 

的演講,將在台北做全球首度的公開演說。英國最大 IT 媒體The Register 以 

 「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事,RSnake 則說,原本 

 他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個 

漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴 

重所以兩個講師決定必須等所有牽涉其中的廠商都有一定的時間反映後,才適合 

 做揭露。OWASP 泰國分會會長 Tim Bass 將會講一場「Web proxy 造成的資安威 

脅:以近日 Google Docs 0-day 為例」,林佳明演講:「修改密碼無效!駭客還 

是在收取您的電子郵件!」 

Forrester Research的資安首席分析師 Chenxi Wang 博士將談到資安挑戰的整 

體面。Chenxi 曾在卡內基美隆大學(Carnegie Mellon University)擔任助理 

教授,為當初幫助CMU成立著名資安實驗室 CyLAB 之關鍵人物之一。目前 

Forrester Research出版的跟 Web 資安相關市場調查報告,都是出自她的研究。 

Chenxi 並會探討黑箱、白箱、WAF在技術上以及在資安投資報酬率上的差別。 

Chenxi 寫的幾篇對於黑箱、白箱與 WAF 的產業報告,是目前全球業界引用的重 

點。 

滲透測試手法方面,有 RSnake、KK、Dhruv、YM 以及 Fyodor 五位講師,其中 KK 

與 Dhruv 來自印度,KK是印度最有名的滲透測試公司 NII Consulting 的創辦 

 人兼總經理,曾經擔任 Black Hat、Interop、IT Underground 等研討會講師, 

並為 Google、聯合國等大型客戶執行滲透測試專案。滲透測試的發展已經由技 

 術導向轉變為商業導向,在預算緊縮的今天,如何有效運用時間,以最低的成本, 

找到最重要的漏洞?這就需要以客戶在商業營運上的風險面向為基礎,來建立相 

對應的滲透測試項目,例如現今企業面對的商業間諜(corporate espionage)、 

金融詐騙(financial fraud)等威脅嚴重,因此就需要有對應的滲透測試情境, 

如社交工程攻擊(social engineering)、實體安全演練等,才能提供更有價值 

的商業導向滲透測試服務。 

網站掛馬方面,全球最有權威性的組織之一,就是 ShadowServer Foundation 了。 

ShadowServer Foundation 長期監控全球僵屍網路(botnet)與網站掛馬,擁有 

豐富資料,堪稱美國此方面研究最深入之組織之一。今年的美國年會,找了 

ShadowServer Foundation 的重要成員 Steven Adair 來擔任這方面的講師。 
附件二、講師簡介 

Robert Hansen (aka“RSnake”)--SecTheory 

CISSP、SecTheory 的 CEO,今年為 Black Hat 與 DEFCON 雙講師。與 Jeremiah Grossman 

著有知名之「XSS」一書,今年 OWASP 美國年會 的演講被禁講,為今年大會最轟動 

之事。他將在台灣首次公開此次禁講之內容。RSnake之部落格 ha.ckers.org 與論壇 

sla.ckers.org 為駭客界被訂閱最多之部落格/論壇之一。在各大研討會中擔任講師,包含 

OWASP年會、微軟 Bluehat、WASC 各會議、Networld+Interop、SourceBoston、 Secure360、 

GFIRST/US-CERT、Toorcon、APWG、ISSA以及TRISC等會議。 

Steven Adair—ShadowServer Foundation 

Steven Adair 是 ShadowServer Foundation 的重要成員之一,也是這次 2008 OWASP 美國 

年會的講師。ShadowServer Foundation 長期監控全球僵屍網路(Botnet)與網站掛馬,擁 

有豐富資料,堪稱美國此方面研究最深入之組織之一。 

Alexander Meisel—OWASP 德國分會、art of defence 

Alexander Meisel 是德國 art of defence 公司技術長,負責該公司之 Web應用程式防火牆 

 (Web application firewall、WAF)之研發。之前在歐洲最大的ISP-LINX擔任網路安全首 

席,曾負責大規模的網站安全稽核與流量管理,專長為Web Security。他的安全專業可 

以追朔到在學階段所提出的預防與追蹤DDoS攻擊研究。Alex 是今年 2008 OWASP 美 

國年會與 2008 OWASP 歐洲年會的講師。 

K. K. Mookhey—OWASP孟買分會、NII Consulting 

印度最有名的滲透測試公司 NII Consulting 創辦人兼總經理,專長為滲透測試、資安鑑 

識、風險評估、資安相關規範(PCI、ISO 27001、BS 25999、ISO 20000)、IT基礎架構管 

理等。擁有CISSP、CISA、CISM、CEH等證照。是印度最知名的資安專家之一,著作 

有Linux Security And Control(ISACA 出版)與 Metasploit Toolkit(Syngress出版)兩本 

專業書籍。KK 為今年 2008 OWASP 印度年會講師,並曾經擔任 Black Hat、Interop、IT 

Underground 等研討會講師,並為 Google、聯合國等大型客戶執行滲透測試專案。 

Chenxi Wang, Ph.D.—Forrester Research 

Dr. Chenxi Wang 是全球前三大市場調查研究機構 Forrester Research 的首席分析師, 

Forrester 出版的跟 Web 資安相關市場調查報告,都是出自她的研究。Dr. Wang 曾在卡 

內基美隆大學(CMU)擔任助理教授,幫助CMU成立著名資安實驗室 CyLAB 之關鍵 

 人物之一。Chenxi 也曾擔任美國聯邦貿易委員會(Federal Trade Comission、FTC)、HP、 

Emerson、Lucent 等單位的資安顧問。 
Wayne Huang(黃耀文)—OWASP台灣分會會長、Armorize 阿碼科技(大會主席) 

Wayne 為 OWASP 台灣分會會長,也是阿碼科技的創辦人兼執行長,對於推動台灣的 

資安社群,不遺餘力,在台灣舉辦 SySCAN、OWASP 亞洲年會等資安會議,並盡量在 

有時間時接受演講的邀約。Wayne 最為人所熟知的專長領域在網頁應用程式安全,並在 

全世界發表了許多相關主題的期刊論文。除此之外,Wayne 也時常受邀擔任全球安全會 

議的演講者,包含 RSA、OWASP、SySCAN、WWW、PHP 與 DSN 等。Wayne 同時也 

是阿碼科技在推動技術創新的重要推手。 

Yen-ming Chen (YM Chen) —McAfee Foundstone 

Yen-Ming 於 2000 年加入 Foundstone 顧問團隊,現職為 McAfee Foundstone 的 Director, 

帶領 Foundstone 團隊於美國各地執行各種資安專案。Yen-Ming並為 Foundstone「Ultimate 

Hacking」、「Ultimate Hacking Expert」、「Ultimate Web Hacking」、以及「Ultimate Hacking: 

Incident Response」等四門課的首席講師。在加入Foundstone之前,他在CMU網路安全 

中心,曾參與Snort開發,製造出第一個在磁片上的Snort sensor(PicoBSD)。是Hacking 

Exposed、Hacking Exposed for Web Application、Windows XP Professional Security及HackNotes: 

Web Application Security的四本書的共同作者。Yen-Ming 曾被 BBC 採訪,並經常於國 

際大型研討會擔任主要講師,其中包含 PacSec、HITB、HACK.LU、台灣駭客年會、CSI、 

MISTI、APAC 等會議。 

Fyodor Yarochki—GuardInfo 

Fyodor經常擔任各國際駭客年會之講師,包含Black Hat 2001 HK、Black Hat 2001 Singapore、 

Black Hat 2002、Ruxcon 2003、XCon 2003 / 2006、HITB 2004 / 2005、SyScan 2005 / 2008、 

Bellua 2005、VNSecurity 2007、DeepSec 2008等。他於頂尖資安學術會議與地下雜誌皆有 

重要文章發表,包含Usenix Conference與Phrack Magazine(最具影響力之地下駭客雜誌)。 

Fyodor並為Snort最早的開發者之一,目前仍為Snort FAQ的維護者。Fyodor並為XProbe 

的創辦人。 

PK 

對於逆向工程、作業系統核心、活體鑑識技術等,皆有深入之研究。在中央警察大學資 

管所就讀期間,主攻電腦鑑識方面之研究,爾後於台灣電腦網路危機處理暨協調中心 

(TWCERT/CC)擔任電腦鑑識實務班講師,授課內容包含惡意軟體的靜態與動態分析、數 

位資料於法律上之證據力、事件處理時數位證據之取得與保存等。目前研究興趣包含數 

位鑑識工具與惡意程式偵測工具之開發。今年為SySCAN前瞻資安年會、HITCon講師。 
林佳明 (Charmi Lin) —ICST 

現任行政院國家資通安全會報技術服務中心(簡稱技服中心)工程師。Charmi主要的工作 

為協助政府機關處理各種資安事件,charmi經常參與政府機關受駭後的資安事件調查與 

進行電腦鑑識工作,對於目前台灣正面臨的組織型駭客攻擊有深刻的體會。擁有GCFA 

與 BS 7799 LA證照。經常於資安人雜誌投稿相關資安技術文章。 

Tim Bass—OWASP 泰國分會會長 

前首席網路資安顧問,美國空軍總部前首席網路顧問,美國國防部。前首席網路資安顧 

問,美國能源部。前 SWIFT 資安顧問。Tim 常擔任各資安會議 keynote。Tim 是 Unix 

Forums 的 Director。 

Dhruv Soi—OWASP 印度年會主席、OWASP 印度分會會長 

Dhruv 在多家公司任職弱點研究員與資安首席,包括 FCS Software Solutions、Momentum 

Technologies、iPolicy Networks、Fidelity Investments、Sopra Group等。 

中文活動議程 http://owasp.org.tw/blog/ 

英文活動網站 http://www.owasp.org/index.php/OWASP_AppSec_Asia_2008 

地點:  台北國際會議中心 TICC             三樓大會堂 (台北市信義路五段一號) 

採訪安排聯絡人: Jack Yu 

電話 : 6616-0100#405 

EMAIL: jack 在owasp.org.tw 

OWASP ( Open Web Application Security Project) is a worldwide free and open 

community focused on improving the security of application software. Our mission is 

to make application security "visible," so that people and organizations can make 

informed decisions about application security risks. http://www.owasp.org 

電子郵件:look@compotechasia.com

聯繫電話:886-2-27201789       分機請撥:11