.

ISC2022漏洞与防护前瞻研究论坛共商

北京白癜风医院可以治疗吗 http://pf.39.net/bdfyy/xwdt/

数字时代,一切都架构在软件、网络、大数据之上,安全漏洞数量持续增长,类型日趋多样化,众多事件型漏洞及高危零日漏洞已成为具备强大威慑力的武器,让全球数字空间面临着前所未有的威胁挑战。

为有效联动各方共同应对漏洞威胁,第十届互联网安全大会(ISC)漏洞与防护前瞻研究论坛于近日成功举办。本次论坛重磅邀请业内权威安全专家、白帽黑客代表、技术负责人,基于不同的漏洞安全问题、漏洞利用细节、漏洞防护策略等,共同探讨应对漏洞威胁挑战的破局之道,助力全方位保障数字空间免受潜在威胁。

由于Fuzzing是当下最常用的软件漏洞自动化发现技术,中科院软件所副研究员和亮在《面向释放后重用漏洞的根因分析和修复》的主题演讲中表示,现实场景中,伴随模糊测试技术的不断发展,崩溃的数量越来越多,能力也越来越强。这种前提下,漏洞根因分析可以有效呈现漏洞的可利用性和产生原因,对于漏洞的修复有着不可或缺的推动作用。

中科院软件所副研究员和亮

奇点实验室高级安全研究员冯柱天和奇点实验室安全研究员何豪杰则在《JS漏洞的挖掘与利用》的主题演讲中,重点对于现有JSFuzzing技术进行了全面的介绍与回顾,基于传统覆盖率导向方法在LanguageFuzzing领域的提升和泛化,提出了其设计的一种全新的JS样本评估方法,并介绍了一个通过Fuzzing系统发现的具有代表性的V8引擎安全漏洞。

奇点实验室高级安全研究员冯柱天

奇点实验室安全研究员何豪杰

漏洞研究院安全研究员姜伟鹏也同样在《利用生成式Fuzz挖掘ChromePDFium漏洞》的主题演讲中,基于ChromePDFium漏洞的挖掘,详细介绍了生成式Fuzz的具体实现及相关效果。作为chrome浏览器中使用的PDF插件,PDFium是一个被广泛使用的开源PDF工具。该工具遵循AdobePDF的标准,可以通过嵌入JS的方式来在PDF中实现复杂的功能,但这也引入了许多安全漏洞。姜伟鹏在演讲中介绍的生成式Fuzz,是基于开源工具afl_domato实现,已经在PDFium中发现了9个UAF漏洞和一些空指针使用问题。

漏洞研究院安全研究员姜伟鹏

除此之外,针对诸多安全漏洞的热点话题,众多参会的演讲嘉宾也带来了精彩的内容分享。蚂蚁安全非攻实验室负责人欧阳瑜基于今年爆发的Spring远程代码执行漏洞,以《Spring4Shell背后的的开源软件供应链安全思考和实践》为题,从漏洞的整体概述、实际影响、防御策略,以及基于该漏洞背后的开源软件供应链安全保障思考四个方面揭示了该漏洞背后的核心本质,并指出开源软件供应链安全是一个行业广泛


转载请注明:http://blog.hzbdfjk.com/sstx/7932.html