世界知名駭客將齊聚台北，第一屆OWASP官方亞洲會議將於台北 - 資安

各位同學：

很高興能告訴您，第一屆的OWASP官方亞洲會議將於9/27號在台北舉行！

OWASP今年決定舉辦第一屆OWASP官方亞洲年會，地點在台北舉行，世界知名駭客與資安人士將齊聚台北，全程將為英文演說，但投影片將有中文翻譯。此次會議完全免費，由OWASP台灣分會、資策會以及中華民國資訊軟體協會共同主辦，並由長期致力於提升台灣資安意識與產業的資安人雜誌擔任協辦媒體。

由於此次為OWASP的官方亞洲年會，會議中不乏外籍講師，但投影片將有中文翻譯，現場並有即時雙語翻譯，討論與發問則不限語言。會議將於下午一點在台大醫院國際會議中心舉辦。

報名請洽OWASP台灣分會：(02) 6616-0100或至以下網址註冊：http://www.owasp.org.tw/owasp_asia_2007/

詳細會議議程請見：http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007

即時翻譯之設備，目前正在接洽中，一旦確定工作人員會再寄email通知註冊者。

OWASP年會希望達到以下目的：

1. 由年會選出來的頂尖講師，對於最新的攻擊方法，防禦技術，以及客戶的成功案例，提供最新資訊與經驗分享。

2. 對於各界資安人士，包含各國OWASP成員，業界資安主管及IT從業人員，各國政府、軍方及情治單位，以及投入資安市場之廠商、代理商、系統整合商以及顧問公司，提供一個交流的機會，讓大家相互認識，分享經驗以及交流技術。

OWASP每年有兩次官方會議，一次在歐洲，一次在美國。由於OWASP為Web資安之最大國際組織，其所定義之標準被五大信用卡公司之PCI標準、美國聯邦貿易委員會、FBI、美國國土安全部，以及各國政府所採用，故OWASP每年之官方年會，除了為年度世界資安頂尖人物必到之大會，更為各國政府，企業以及資安產業必定派人參加之國際盛會。我國行政院研考會之 「Web應用程式安全參考指引」，亦將OWASP Top 10列為重要參考標準。

由於獨缺亞洲沒有官方年會，近年亞洲各界皆反映希望能有 OWASP 官方年會，經過OWASP台灣分會的各位伙伴極力稱取，終於取得OWASP之同意，讓OWASP的第一屆官方亞洲年會，能在台北舉行，也因此所有OWASP講師將飛至台北與會。此次講師皆為常在世界駭客年會Black Hat、Defcon中演講之講師，包括Jeremiah Grossman （今年Black Hat講師）以及Mike Schema（Web Applications Hacking Exposed等七本資安著作）等人。

亞洲有能力承辦此第一屆官方會議之國家並不少，包括馬來西亞，泰國，澳洲，日本，都擁有豐富之舉辦大型國際資安會議之經驗，其中許多也表示承接此次活動之意願。

會議能夠在台北舉行，一方面證明了台灣資安之能量，展現了台灣各指導機關多年致力於資安意識之提升，各學術單位致力於資安基礎與應用之研究，產業界致力資安產品之研發與整合，以及媒體致力於各領域資安訊息之分析等之成果；一方面也證明了，台灣在資安有其獨特之政治與軍事意義，由於對資安有高於他國之需求，也造就了我們資安實力與經驗之累積，能夠在多年努力後，開始與他國分享我們的成果。

最後最主要的，是大家踴躍的報名。您對於OWASP活動的支持，是這次會議決定在台北舉行之關鍵。因為這表示台灣有足夠的人士，在關心資安的議題，在投入資安的研究，使得OWASP決定，此次活動值得在台北舉行。希望您能把握這次機會，準時來參加活動，一方面從最頂尖的講師接觸最新的資安訊息，一方面也與大家認識。

這次會議的設計，是希望在有限的時間內，能夠涵蓋到Web資安的最新資訊，以及各種強化Web資安的方案。Jeremiah將探討Web資安之新挑戰：程式邏輯錯誤。隨著自動工具有效地降低如SQL injection，cross-site scripting等漏洞之存在，Web之新挑戰，也是駭客攻擊之下一波重點，將是自動工具無法找出之邏輯漏洞。Jeremiah將現場利用真實的例子，示範許多自動化工具無法檢測的邏輯漏洞，並探討為何這些邏輯漏洞常常被QA團隊所忽略。最後，Jeremiah也將提出企業該如何有效地避免以及找出邏輯錯誤。

OWASP Top 10中舉出的漏洞，許多都是九零年代就存在的。對於這些漏洞（例如SQL injection或cross-site scripting），許多自動化的技術皆能夠有效的找出，可以節省企業許多成本。Mike將先探討Web上究竟有哪些種類之漏洞？根據他的分類，哪一些漏洞可以由自動工具準確找出，哪些則還需靠專業服務（人工）？應用程式防火牆又可以阻擋哪些攻擊？Mike並將現場做許多新型攻擊之demo。

在自動工具中，源碼檢測是自動工具中最晚成熟的。這其中原因為何？源碼檢測是如何做到的？與傳統之黑箱技術比較，其效果又有多大的差別？該如何導入？這方面由Wayne（黃耀文）來解說。

Jack將提供一場前所未見之演講，比在駭客年會中更大膽，更詳細地探討傳說中的中國網軍，包含過去網軍之攻擊事件，組成成員，攻擊手法，任務目標，技術水平，使用工具，以及往後預期之行動與攻擊方向。Web-Based Malware是網軍最近最常用的攻擊手法，Jeremy（Birdman）會詳細的介紹最近新的Web-Based Malware攻擊方式，以及防禦技術的演進。

Daniel將以其多年擔任企業CIO的經驗，談論站在客戶的立場，面對資安的種種攻擊與數不完的各種工具、產品與服務，CIO想的是什麼，要的又是什麼？

以下是部分講師的簡介：

A.Jeremiah Grossman（WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長）
英文題目: The Next Challenge to Web Security: Business Logic Flaws
中文題目: 未來Web資安之大挑戰：邏輯漏洞 （此演講於本會議做第一次公開！）
國際演說: BlackHat Briefings, Defcon, RSA, ISACA, CSI, OWASP, Vanguard, ISSA
暢銷書籍:XSS Attacks

B.Mike Shema（Qualys首席資安研究員）
英文題目: Automated Tools: Are They Any Good for Enterprises?
中文題目: Web資安--企業如何有效利用自動工具？
國際演說: Black Hat Briefings, Black Hat Training US / Europe, RSA, IT Underground, SACIS.
暢銷書籍: Web Applications (Hacking Exposed) 等七本

C.Wayne Huang, 黃耀文
（Armorize Technologies 阿碼科技創辦人兼執行長）
英文題目: Secure Web Developing using Static Analysis
中文題目: 利用靜態檢測做好安全Web應用程式開發
國際演說: RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan
暢銷書籍: Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

D.Daniel Hsu, 徐子文（美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員）
英文題目: From a user perspective, what are CSOs' real concerns?
中文題目: 從使用者的角度出發，企業的安全長（CSO）要的是什麼？
國際演說: 亞洲安全週、國際安全科技博覽會(SecuTech Expo)
暢銷書籍: 企業安全管理完全手冊

E.Jack Yu, 余俊賢 (資安人雜誌主編)
Jeremy, 邱銘彰 （Birdman, X-Solve）
英文題目: Live in Battle: The NetArmy, Cross-Straight Digital Warfare, and Web-Based Malware
中文題目: 決戰實況: 中國網軍與海峽兩岸資訊戰與Web惡意程式
國際演說:

最後感謝您對OWASP以及OWASP台灣分會的支持，如果您還未報名此次活動，報名方式如下：

1. 電洽OWASP台灣分會：(02) 6616-0100

2. 利用以下網址註冊：http://www.owasp.org.tw/owasp_asia_2007/

詳細會議議程請見：http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007

OWASP台灣分會敬上
http://www.owasp.org.tw

--