BUGBANK倾情助力 | 平安SRC线上沙龙·第八期即将上线！4月25日共同开启新篇章

在这个生机勃勃的季节，PSRC线上沙龙系列活动迎来了新的篇章！4月25日，将为您呈现一场关于攻击利用与防御的精彩盛宴！

本次沙龙很荣幸邀请到5位行业内的顶尖专家，为我们分享多角度、多领域的安全防护、漏洞挖掘技巧和方法。

除了精彩纷呈的议题，本次直播还准备了多个抽奖环节，奖品丰富多样，惊喜连连！扫码预约，我们不见不散！

精彩议题提前看！

1

李恒/网商银行安全专家

基于威胁路径图的安全水位评估技术实践

本议题介绍网商银行在持续运营的网络安全水位评估体系。内容包括威胁路径图模型、实战检验、指标计算三部分，该体系从威胁路径维度量化红军安全水位，展示安全水位变化，同时为红军安全建设提供指导性数据。目前该体系已形成团体标准。

李恒，在网商银行担任安全专家，专注于实战攻防研究，主要职责是构建和完善网络安全水位评估体系，提升蓝军攻击能力的价值，用“以攻促防”的理念助力安全防御建设。在实战攻防领域积累了数十年经验，注重理论与实践的结合。深度参与了书籍《数字银行安全体系建设》的编辑工作。

2

刘伯仲/腾讯安全专家

大模型平台与应用安全防护

随着大模型参数规模突破千亿级，安全风险加剧。近期Hugging Face组件漏洞导致数据泄露、ChatGPT因应用漏洞被迫下线、LLama-65B开源泄漏内部信息等事件频发，暴露出供应链漏洞、恶意Prompt攻击、数据投毒等多重威胁。新技术如智能体（Agent）、思维链（COT）、检索增强（RAG）进一步放大风险。本分享探讨如何构建分层防护体系，通过应用层通过安全子模型拦截恶意Prompt，服务端以沙箱隔离高风险插件，严格配置网络与权限，客户端采用行为白名单、敏感API二次确认等技术，做好大模型平台的安全防护。

刘伯仲，现任腾讯安全专家，上海交通大学计算机安全博士，悉尼科技大学隐私保护数据挖掘博士。9年安全领域工作经历，从事安全威胁的检测与防御、AI+安全、大模型安全等研究和落地。深圳市高层次专业人才，在重要国际会议和期刊上发表论文20余篇，申请专利10余项。

3

Auth0wl/北山安全团队成员

SRC中的奇思妙想：挖掘业务逻辑漏洞的艺术

本议题聚焦于App与Web结合的安全漏洞挖掘，涵盖从进入后台的权限绕过，到因信息泄露导致的账号接管等真实案例。通过实际案例解析，展示如何在SRC中发现并利用业务逻辑漏洞。

Auth0wl，北山安全团队成员，马蜂窝SRC 2024年年榜第一，喜马拉雅SRC 2024年榜第二，法大大SRC年榜第二，多家SRC Top10。擅长业务逻辑漏洞挖掘、XSS与代码审计。

4

zms/OneTS 安全团队核心成员

SRC 实战漏洞挖掘突破技巧

聚焦 SRC 实战中三大核心方向：1）特定资产挖掘僵局下的破局思路，涵盖横向拓展攻击面与纵向深入漏洞利用；2）通过 Fuzzing 创新请求方式（POST/GET/Head 等）触发未授权操作或注入绕过；3）演示从业务逻辑的角度出发尝试绕过限制。案例提炼方法论，助力复杂环境下的高价值漏洞发现。

zms，OneTS 安全团队核心成员，专注于SRC漏洞挖掘与深度渗透测试。累计挖掘多家 SRC 平台高危漏洞，获荣耀 2023/2024 年度隐私安全三等奖。擅长结合业务逻辑设计针对性的改变渗透路径与方式，通过细节分析突破常规防护边界，在身份认证、数据泄露及逻辑缺陷领域具备丰富实战经验。

5

王鑫旭/平安科技高级安全研究员

审核视角助你精准定级危害

在漏洞挖掘领域，白帽子提交的漏洞报告质量直接影响漏洞评级。许多技术细节的缺失常导致漏洞被误判、危害等级降级，甚至与高额赏金失之交臂。本议题将从资深审核者视角出发，拆解审核流程中的「加分项」与「扣分项」，助你掌握从「合格报告」到「高价值报告」的升级密码

王鑫旭，PaperPen，PSRC漏洞审核之一，高级安全研究员，Timeline Sec团队创始人。

奖品多多，等你来拿！

多个抽奖环节，礼物随机掉落，颈枕、保温杯、公仔、T恤、鼠标垫等多个礼品等你来抽！

活动时间：4月25日 14点-17点

活动形式：线上直播

参与方式：扫描下方微信视频号【平安集团安全应急响应】二维码

扫码预约直播精彩不错过

BUGBANK平台助力

平安SRC线上沙龙系列主题活动

期待与你在在PSRC线上沙龙

一起交流学习，共同成长！

BUGBANK平台官网：https://www.bugbank.cn/

联系电话：(021) 6762-8100

服务邮箱：support@bugbank.cn