记第二届腾讯安全技术沙龙

作者：Evi1m0，

0day

抵达深圳后，刚下飞机便感觉一股闷热袭来，身上瞬间多了层汗水，虽然有所准备但对于在北方呆久的人还是稍微有点儿不适应。我和刷三下踏出机场门口开始前往腾讯大厦，司机说着一口不太标准的普通话和我们侃着MH370的情况，而我坐在车上不停的看着倒退的山景，发现深圳绿化比北京做的好很多，景色悦人，正感慨发现已经到了腾讯大厦。

此时已经中午，我和刷三下与腾讯安全应急响应中心（TSRC）的几位朋友见面后直赴餐厅，刚吃完发现tk教主走了进来，整间屋子被tk的气势笼罩着，于是我们几人撤离餐厅，只剩玲子（妹子）一人留在餐厅陪tk吃饭，真是个好主意。

腾讯大厦和我想象中的没什么区别，有着理所当然的土豪范。我们进入会议厅后发现已有几位业内人士就坐，聊的不亦乐乎。参会人员陆续进场，人数到期后我大概数了一下甲方乙方以及腾讯内部人员竟有40余人，相当隆重。

这次TSRC邀请了三位业界知名牛人坐席嘉宾：tombkeeper，pp，冰河

15:20会议开始进行，harite主持沙龙让参会人员可提出各问题咨询三位嘉宾开始问答环节，第一个问题便是：OpenSSL这个漏洞为什么是外国人发现的？我们没有发现的能力吗？

tk对这个问题进行了详细的解答，大致意思就是：首先拿中国与整个外国来比这个范围还是很大的，除中国之外的所有国家都可称之为外国。

其次国内安全研究人员仍然也发现了很多高危漏洞（例如wushi等人），而就此OpenSSL漏洞不可称为国外与国内安全研究水准就有很大的差距，如果真要拿中国与外国来比的话，安全研究水准也还真差不哪去甚至部分还要超出国外。

pp对tk的回答表示赞同并简单的追加了几句表示肯定观点，冰河则在一旁很低调的听着，微笑示意。

其他几个问题回答比较漫长，比较有趣的问题：

白帽子问tombkeeper拿到10w美金什么感觉？答：真没什么感觉…自己可以做可以学的东西还非常多…
问及甲乙方安全实力的对抗，PP ：屁股决定脑袋。而且甲乙方不应是竞争关系，而是合作关系。

腾讯安全应急响应中心（TSRC）表示将逐渐提高对白帽子的奖励，开展多地区白帽子安全技术沙龙，高校合作甚至白帽子能力提升计划等。下午主要流程就是混脸熟，与大牛面对面畅聊，聊人生、梦想和安全，所以几个问题回答完毕之后便已经17:00了，这时进入第二阶段：工作人员带领大家参观腾讯展厅。

展厅非常气派，这和腾讯规模当然有关，整个展厅充满深蓝色调让人很舒服，下面发几张当时拍摄图：

（腾讯同时在线人数以及地区分布）

（腾讯滨海大厦及企业文化介绍）

晚饭聚餐时让我惊讶的是竟然饭桌上有位粉丝，聊的很顺畅并加了他微信，虽然不是女粉，但仍惊讶于这种场合能碰到并同一餐桌。吃完饭后我们乘坐腾讯大巴前往酒店，于此同时我结识到一位很低调的同学，这里称他为：阿T。

阿T是前腾讯员工，很低调，现在只身一人打拼着，虽然他搞的是底层安全但仍和我有聊不完的话题。我和阿T住一个房间，买烟回来后发现他在阳台面朝大海静静的抽着烟。也许是因为烟友的缘故我们聊的很投机，坐在阳台上看着外面的车水马龙，海风吹着脸颊很是舒服。刷三下和这次会议上遇到的粉丝（这里称为：Mr杨）住一个房间，他们两个跑过来找我和阿T从安全聊到产品再侃到整个行业，直到凌晨2点依然精神十足。我倚在阳台边看着烟头烧尽，和他说起了黑产之道。

我说：“现在入侵基本不是问题，取决于对方是否有这个被黑的价值。”

啊T：“是啊，但是想抓你，你还真跑不掉。”

我们共同点头，遂罢，眠。

----

1day

发现时间已经10点了，早上会议不是9点吗？迟到了。

第二天的会议大厅已经换了地方，酒店顶层，我和阿T把它称为：无敌海景房

进去之后就开始了议题：《安全实现类漏洞挖掘（客户端方向）》- 瀚海源

搞底层二进制的话题不太适合我，但我勉强的听了一下，议题大致讲了关于底层安全漏洞挖掘的技巧：

白盒（源码审计）
灰盒测试
黑盒测试

听完议题后直奔餐厅午餐，中午harite来房间找我聊人生畅梦想，我问：“现在衡量给你们提漏洞的白帽子是否白，你们的方法？”
他说：“白帽子与黑帽子进行的测试行为现在基本能够断定出，裤子都脱了你和我说是正常白帽子测试，这怎么也说不过去。其实我们对于部分白帽子的测试还是很容忍的，怕的就是业务部门追究，把人家的业务都捣乱了，到底该怎么做也是业务那面负责人的决定，安全部这面也很为难。”

其实关于这个话题，我想起之前写过的一篇文章，可以翻出来看看：《白帽子的未经授权渗透测试合法吗？》

下午议题开始之前有个小活动，40余人双手搭着前方人的肩膀进行折磨，一时间会议厅充满了怪怪的声音，好在让大家都抛去了午休的疲惫。两个议题，第一个是腾讯内部议题《腾讯WEB安全检测平台》，禁止拍照与宣传，所以不多说。

这时lake2不知从何地跑了出来拍了拍我肩膀说：啊，你就是猥琐的蘑菇啊。

看着他猥琐十足的笑容我实在自愧不如，简单的聊了几句便开始了最后一个议题，这也是我认为这是整次沙龙中最有干货的议题：《无线安全の七年之恙》- 杨哲（Longas）ZerOne无线安全团队

议题主要喷了现在对无线安全研究实在太浅，毫无深度。然后讲述了Wifi hacking的发展历史。

杨哲：近两年才进入大家视线的伪基站其实早在03-04年就诞生了。

据他们团队协助调查，发现某团伙使用伪基站发送数量单个最少67W条短信，最多的单个设备高达700W条短信数量。并称下一个交火区：谁将“占领客厅？”

其实占领客厅这个概念很简单，我之前文章写过关于电视（影视盒子）的入侵及控制电视实现物联网化的入侵，这也将是一个很大的发展趋势，只不过无奈于很少有人真正的用心去研究。

哦，我们还参观了腾讯的文化馆，里面公仔玲琅满目：

全部议题结束后，我们赴往大梅沙公园进行合影留念，之后便开始自由活动，我与阿T回到房间看着外面的风景，又聊了起来。

深夜我，刷三下，阿T，Mr杨去吃烧烤，凌晨的深圳空气真是让我不得不去大口的呼吸，也许是因为在北京呆久了的原因。这个时候我才发现竟然是我生日，于是我们更加的嗨了起来，我在想：习惯了享受会不会让人忘却奋斗？很久没吃烧烤了，发现竟然那么爽，于是我对Mr杨说以后有机会一定要多抽时间出来享受享受，不然还真怕以后没机会了。

回到房间后随手打开了微信附近的人，想试试传说中广东性都，结果几分钟后收到了上十个招呼：需要服务吗？