ISC 2021 HackingClub白帽峰会以“主场集结·与我为伍”为主题，与监管单位及30多家互联网应急响应中心SRC代表、100多家安全战队和来自全国24个省的白帽黑客、精英学者、安全研究员、前沿厂商技术大牛共聚一堂，共同探讨政策解读，分享前沿技术，共话合作，共谋发展，与会嘉宾在各类主题活动下切磋攻防技能、探索网安边界，共同开启一场独一无二的网安饕餮盛宴。

《规定》的出台将提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。

可预见的未来，更为广阔的安全市场，将会激活整个产业生态发展，更多的企业和白帽子会加入到科技发展及网络安全建设当中，网络安全产品、服务及创新的安全模式将层出不穷，在政策利好的大背景下，网络安全行业或将迎来更为蓬勃发展的时代机遇。

活动现场特别邀请到中国信息通信研究院安全研究所网络安全响应中心副主任薛涛在现场为我们带来主题演讲《网络产品安全漏洞管理现状研究》，这也是继规定发布之后第一次在公开场合就此政策进行研究分享。

报告以技术研究为驱动、以安全专家实战经验为核心基础，聚焦通用型高危漏洞进行安全研究，从漏洞态势、漏洞发展趋势、漏洞和企业影响力的关系、当前应特别关注进行针对性防御的漏洞攻击方式、供应链漏洞发展问题、国产开源软件漏洞发展态势等维度展开研究，总结了近22年漏洞的发展规律和近5年的开源软件漏洞的发展规律，并对2021上半年的漏洞攻击利用事件进行总结及对2021年漏洞发展趋势进行前瞻性预测。

接下来由中国科学院信息工程研究所，研究员、博士生导师，信息安全国家重点实验室副主任，陈恺为我们带来主题演讲《智能化攻防·漏洞发现与验证技术研究》。 陈凯主要从智能化漏洞发现展开，介绍了包括自然语言理解与深度学习等人工智能技术在漏洞发现与验证中的应用等。

紧接着由RC2反窃密实验室创始人、ZerOne无线安全团队创始人杨哲（杨叔、Longas），为大家带来演讲议题《新时期下的个人隐私&商业秘密保护》。

TSCM (Technical Surveillance Counter Measures)，即『反技术窃密对策』作为目前最直接的商业安全防范技术方案，能有效防范各种利用技术手段开展的窃密及非法监控行为，因此TSCM越来越受到各国政府和企业的重视，需求日益增涨。

接着迎来了一个非常精彩的网络安全谍战故事，由360入侵者模拟团队高级安全攻防研究院2ero为我们带来议题《查谟和克什米尔之眼—第五空间角力场》。

随着国家对新能源汽车的投入与发展，各大造车势力试水电车市场，电动车已经在国内开启了疯狂的扩张道路，大家应该也知道360投资了哪吒造车，我们的友商小米更是由雷总亲自宣布进军电车市场，电动车的安全越发受到行业内的关注，我们为大家探索电动车无法分割的伴侣：充电桩的安全。由小米IoT安全工程师、RapidDNS.IO网站创办者吴明，为大家带来演讲《新基建时代充电桩网络安全探索之旅》。

接下来由360漏洞云安全研究员Cview，为我们带来主题演讲《Windows内核新战场—Direct Composition解析》。

本次议题，Cview主要介绍了这个隐藏在windows内的幽灵，包括Windows内核Direct Composition模块的内部结构及其攻击面和相关漏洞以及如何对其进行模糊测试，最后分享了几个相关攻击面的漏洞利用。

最后由IRTeam工控安全红队联合创始人、国际知名工控厂商网络安全负责人剑思庭，带来了一个工控安全相关的议题演讲《基于OPC DA打造的C2攻击链解析》。

而此议题在于如何利用，工业场景中现有的工具与技术，实现一款可以远端控制SCADA/HMI软件数据相关OPC DA协议的C2工具，同时此C2端封装成正常com组件调用可以实现免杀，并实现工业控制系统数据的远程控制。

主要展现常见的恶意器材，包括但不限于车辆GPS跟踪器，针孔偷拍素材、改装窃密器材等，HackingClub展区观众可以自由参观，并有RC2专人进行讲解。ISC反窃密场景的主题是模拟场景体验屋，该体验屋通过模拟常见的办公室交流场景来展示物理层面的安全风险，体验馆每次进入3-4人，要求在5分钟内，使用便携式手持设备查找非法设备，让来访观众体验室内检测的难易度。

渗透挑战赛区域

实战攻防比赛利用虚拟化技术，高度还原关键基础设施存在的漏洞，在本实战场景中，需要通过多种漏洞的组合利用，获取到最终靶标系统的控制权限，现场众多网络安全技术爱好者对于指定授权的内网系统发起攻击，挑战赛区域“硝烟四起”，各路英雄豪杰在一场没有硝烟的网络对抗中大显身手。

HackingClub黑客音乐节上线

这里有我们志同道合的兄弟、有好酒

让我们一起嗨起来！

本次HackingClub闭门沙龙由360漏洞云业务线技术负责人，08sec团队创始人、DEFCON GROUP 86025发起人TNT主持开场。

他在开场中说到：“作为一个由中国网络安全从业者、爱好者组建的安全团体组织，HackingClub期待与大家携手，成为国内最大的白帽子安全技术社区。”

陈平：IoT设备前端登录绕过的一万种姿势

本次闭门沙龙中，讲师陈平主要分析和讨论了几种绕过IOT设备前端登录的方法。包括绕过API权限、目录权限以及跨服务越权等方法。这是陈平第二次站在HackingClub的讲台上，与大家互动分享其在IoT领域的实践心得。

毅哥：万千项目之APP分析实战

基于某期真实项目实践，360漏洞云安全研究员任毅站在Web安全研究员的视角上，与大家分享了APP渗透的思路、过程和方法。希望通过其实战经历，为大家提供经验分享。

圆桌交流：大型演练典型案例分享

在互动分享环节，本次沙龙邀请到的数位行业内资深安全专家，基于他们往年大型活动中的经典案例与参会嘉宾进行了亲身教学式的精彩分享点评。呆神（王英健）在互动交流中提到：“对于防守方来讲，未来的攻防对抗是速度、效率和规模的比拼。”

漫沙：Webshell自动化免杀的思考

360漏洞云安全研究员漫沙，在沙龙中为大家分享了一个基于实战场景，可达到长时间隐藏后门的自研私用小工具1.0版。

HackingClub技术沙龙，始终秉承“崇尚技术、开放探索，不看ID，只讲干货”的初心，本着高质量分享及交流的精神，坚守网络安全阵地，推动中国Hacking文化发展，搭建属于中国网络安全技术爱好者交流的平台。

HackingClub期待每一位加入的社区成员们有所收获的同时，也在未来积极贡献自己的技术观点，携手将HackingClub建设的越来越好。