數(shù)字時(shí)代,一切都架構(gòu)在軟件、網(wǎng)絡(luò)、大數(shù)據(jù)之上,安全漏洞數(shù)量持續(xù)增長(zhǎng),類(lèi)型日趨多樣化,眾多事件型漏洞及高危零日漏洞已成為具備強(qiáng)大威懾力的武器,讓全球數(shù)字空間面臨著前所未有的威脅挑戰(zhàn)。
為有效聯(lián)動(dòng)各方共同應(yīng)對(duì)漏洞威脅,第十屆互聯(lián)網(wǎng)安全大會(huì)(ISC 2022)漏洞與防護(hù)前瞻研究論壇于近日成功舉辦。本次論壇重磅邀請(qǐng)業(yè)內(nèi)權(quán)威安全專家、白帽黑客代表、技術(shù)負(fù)責(zé)人,基于不同的漏洞安全問(wèn)題、漏洞利用細(xì)節(jié)、漏洞防護(hù)策略等,共同探討應(yīng)對(duì)漏洞威脅挑戰(zhàn)的破局之道,助力全方位保障數(shù)字空間免受潛在威脅。
由于Fuzzing是當(dāng)下最常用的軟件漏洞自動(dòng)化發(fā)現(xiàn)技術(shù),中科院軟件所副研究員和亮在《面向釋放后重用漏洞的根因分析和修復(fù)》的主題演講中表示,現(xiàn)實(shí)場(chǎng)景中,伴隨模糊測(cè)試技術(shù)的不斷發(fā)展,崩潰的數(shù)量越來(lái)越多,能力也越來(lái)越強(qiáng)。這種前提下,漏洞根因分析可以有效呈現(xiàn)漏洞的可利用性和產(chǎn)生原因,對(duì)于漏洞的修復(fù)有著不可或缺的推動(dòng)作用。
中科院軟件所副研究員和亮
奇點(diǎn)實(shí)驗(yàn)室高級(jí)安全研究員馮柱天和奇點(diǎn)實(shí)驗(yàn)室安全研究員何豪杰則在《JS漏洞的挖掘與利用》的主題演講中,重點(diǎn)對(duì)于現(xiàn)有 JS Fuzzing 技術(shù)進(jìn)行了全面的介紹與回顧,基于傳統(tǒng)覆蓋率導(dǎo)向方法在 Language Fuzzing 領(lǐng)域的提升和泛化,提出了其設(shè)計(jì)的一種全新的JS樣本評(píng)估方法,并介紹了一個(gè)通過(guò) Fuzzing 系統(tǒng)發(fā)現(xiàn)的具有代表性的 V8 引擎安全漏洞。
奇點(diǎn)實(shí)驗(yàn)室高級(jí)安全研究員馮柱天
奇點(diǎn)實(shí)驗(yàn)室安全研究員何豪杰
360漏洞研究院安全研究員姜偉鵬也同樣在《利用生成式Fuzz挖掘Chrome PDFium漏洞》的主題演講中,基于Chrome PDFium漏洞的挖掘,詳細(xì)介紹了生成式Fuzz的具體實(shí)現(xiàn)及相關(guān)效果。作為chrome瀏覽器中使用的PDF插件,PDFium是一個(gè)被廣泛使用的開(kāi)源PDF工具。該工具遵循Adobe PDF的標(biāo)準(zhǔn),可以通過(guò)嵌入JS的方式來(lái)在PDF中實(shí)現(xiàn)復(fù)雜的功能,但這也引入了許多安全漏洞。姜偉鵬在演講中介紹的生成式Fuzz,是基于開(kāi)源工具afl_domato實(shí)現(xiàn),已經(jīng)在PDFium中發(fā)現(xiàn)了9個(gè)UAF漏洞和一些空指針使用問(wèn)題。
360漏洞研究院安全研究員姜偉鵬
除此之外,針對(duì)諸多安全漏洞的熱點(diǎn)話題,眾多參會(huì)的演講嘉賓也帶來(lái)了精彩的內(nèi)容分享。螞蟻安全非攻實(shí)驗(yàn)室負(fù)責(zé)人歐陽(yáng)瑜基于今年爆發(fā)的Spring遠(yuǎn)程代碼執(zhí)行漏洞,以《Spring4Shell背后的的開(kāi)源軟件供應(yīng)鏈安全思考和實(shí)踐》為題,從漏洞的整體概述、實(shí)際影響、防御策略,以及基于該漏洞背后的開(kāi)源軟件供應(yīng)鏈安全保障思考四個(gè)方面揭示了該漏洞背后的核心本質(zhì),并指出開(kāi)源軟件供應(yīng)鏈安全是一個(gè)行業(yè)廣泛關(guān)注的話題,也是難題,需要全社會(huì)上下游力量的共同參與和努力。
螞蟻安全非攻實(shí)驗(yàn)室負(fù)責(zé)人歐陽(yáng)瑜
隨著5G的出現(xiàn),家用IOT設(shè)備數(shù)量持續(xù)增長(zhǎng),其所引發(fā)的安全問(wèn)題也日益凸顯。360漏洞研究院安全研究員蘇熙杰、賀乾真與梁翔軒則針對(duì)NAS設(shè)備面臨的漏洞威脅問(wèn)題,帶來(lái)了題為《云中探秘NAS漏洞探索之旅》的主題演講,深度剖析了NAS設(shè)備的攻擊面尋找、攻擊思路、設(shè)備RCE利用鏈等研究過(guò)程。
360漏洞研究院安全研究員賀乾真
360漏洞研究院安全研究員蘇熙杰
而OPPO高級(jí)攻防安全工程師陳武在題為《淺談Android安全審計(jì)&高效漏洞挖掘技術(shù)》的分享中,則通過(guò)回顧和分析常見(jiàn)的AOSP native相關(guān)漏洞,基于其挖掘的原生漏洞進(jìn)行實(shí)戰(zhàn)講解,總結(jié)出了一些AOSP漏洞挖掘中常見(jiàn)的套路和方法,并對(duì)基于CodeQL和人工代碼審計(jì)在AOSP上漏洞挖掘的方向和潛力作出展望。
OPPO高級(jí)攻防安全工程師陳武
論壇的最后,中科院軟件所副研究員和亮、螞蟻安全非攻實(shí)驗(yàn)室負(fù)責(zé)人歐陽(yáng)瑜、OPPO高級(jí)攻防安全工程師陳武,以及360漏洞研究院安全研究員賀乾真與姜偉鵬共同圍繞《數(shù)字時(shí)代的漏洞威脅應(yīng)對(duì)之道》展開(kāi)圓桌探討,幾位業(yè)內(nèi)權(quán)威專家以打造更加安全的防護(hù)體系為目標(biāo),提出了諸多建設(shè)性的參考意見(jiàn)。
伴隨數(shù)字化技術(shù)的不斷演進(jìn),漏洞已經(jīng)上升到國(guó)家安全戰(zhàn)略資源的新高度,其所帶來(lái)的威脅將直接影響到國(guó)家安全、社會(huì)安全、城市安全、關(guān)鍵基礎(chǔ)設(shè)施安全等。本次ISC 2022漏洞與防護(hù)前瞻研究論壇的成功召開(kāi),將進(jìn)一步推動(dòng)數(shù)字安全的高質(zhì)量發(fā)展,為全球數(shù)字空間構(gòu)建出互利共贏的安全新生態(tài)。
