數(shù)字時代，一切都架構(gòu)在軟件、網(wǎng)絡(luò)、大數(shù)據(jù)之上，安全漏洞數(shù)量持續(xù)增長，類型日趨多樣化，眾多事件型漏洞及高危零日漏洞已成為具備強大威懾力的武器，讓全球數(shù)字空間面臨著前所未有的威脅挑戰(zhàn)。

為有效聯(lián)動各方共同應對漏洞威脅，第十屆互聯(lián)網(wǎng)安全大會(ISC2022)漏洞與防護前瞻研究論壇于近日成功舉辦。本次論壇重磅邀請業(yè)內(nèi)權(quán)威安全專家、白帽黑客代表、技術(shù)負責人，基于不同的漏洞安全問題、漏洞利用細節(jié)、漏洞防護策略等，共同探討應對漏洞威脅挑戰(zhàn)的破局之道，助力全方位保障數(shù)字空間免受潛在威脅。

由于Fuzzing是當下最常用的軟件漏洞自動化發(fā)現(xiàn)技術(shù)，中科院軟件所副研究員和亮在《面向釋放后重用漏洞的根因分析和修復》的主題演講中表示，現(xiàn)實場景中，伴隨模糊測試技術(shù)的不斷發(fā)展，崩潰的數(shù)量越來越多，能力也越來越強。這種前提下，漏洞根因分析可以有效呈現(xiàn)漏洞的可利用性和產(chǎn)生原因，對于漏洞的修復有著不可或缺的推動作用。

【資料圖】

中科院軟件所副研究員和亮

奇點實驗室高級安全研究員馮柱天和奇點實驗室安全研究員何豪杰則在《JS漏洞的挖掘與利用》的主題演講中，重點對于現(xiàn)有JSFuzzing技術(shù)進行了全面的介紹與回顧，基于傳統(tǒng)覆蓋率導向方法在LanguageFuzzing領(lǐng)域的提升和泛化，提出了其設(shè)計的一種全新的JS樣本評估方法，并介紹了一個通過Fuzzing系統(tǒng)發(fā)現(xiàn)的具有代表性的V8引擎安全漏洞。

奇點實驗室高級安全研究員馮柱天

奇點實驗室安全研究員何豪杰

360漏洞研究院安全研究員姜偉鵬也同樣在《利用生成式Fuzz挖掘ChromePDFium漏洞》的主題演講中，基于ChromePDFium漏洞的挖掘，詳細介紹了生成式Fuzz的具體實現(xiàn)及相關(guān)效果。作為chrome瀏覽器中使用的PDF插件，PDFium是一個被廣泛使用的開源PDF工具。該工具遵循AdobePDF的標準，可以通過嵌入JS的方式來在PDF中實現(xiàn)復雜的功能，但這也引入了許多安全漏洞。姜偉鵬在演講中介紹的生成式Fuzz，是基于開源工具afl_domato實現(xiàn)，已經(jīng)在PDFium中發(fā)現(xiàn)了9個UAF漏洞和一些空指針使用問題。

360漏洞研究院安全研究員姜偉鵬

除此之外，針對諸多安全漏洞的熱點話題，眾多參會的演講嘉賓也帶來了精彩的內(nèi)容分享。螞蟻安全非攻實驗室負責人歐陽瑜基于今年爆發(fā)的Spring遠程代碼執(zhí)行漏洞，以《Spring4Shell背后的的開源軟件供應鏈安全思考和實踐》為題，從漏洞的整體概述、實際影響、防御策略，以及基于該漏洞背后的開源軟件供應鏈安全保障思考四個方面揭示了該漏洞背后的核心本質(zhì)，并指出開源軟件供應鏈安全是一個行業(yè)廣泛關(guān)注的話題，也是難題，需要全社會上下游力量的共同參與和努力。

螞蟻安全非攻實驗室負責人歐陽瑜

隨著5G的出現(xiàn)，家用IOT設(shè)備數(shù)量持續(xù)增長，其所引發(fā)的安全問題也日益凸顯。360漏洞研究院安全研究員蘇熙杰、賀乾真與梁翔軒則針對NAS設(shè)備面臨的漏洞威脅問題，帶來了題為《云中探秘NAS漏洞探索之旅》的主題演講，深度剖析了NAS設(shè)備的攻擊面尋找、攻擊思路、設(shè)備RCE利用鏈等研究過程。

360漏洞研究院安全研究員賀乾真

360漏洞研究院安全研究員蘇熙杰

而OPPO高級攻防安全工程師陳武在題為《淺談Android安全審計&高效漏洞挖掘技術(shù)》的分享中，則通過回顧和分析常見的AOSPnative相關(guān)漏洞，基于其挖掘的原生漏洞進行實戰(zhàn)講解，總結(jié)出了一些AOSP漏洞挖掘中常見的套路和方法，并對基于CodeQL和人工代碼審計在AOSP上漏洞挖掘的方向和潛力作出展望。

OPPO高級攻防安全工程師陳武

論壇的最后，中科院軟件所副研究員和亮、螞蟻安全非攻實驗室負責人歐陽瑜、OPPO高級攻防安全工程師陳武，以及360漏洞研究院安全研究員賀乾真與姜偉鵬共同圍繞《數(shù)字時代的漏洞威脅應對之道》展開圓桌探討，幾位業(yè)內(nèi)權(quán)威專家以打造更加安全的防護體系為目標，提出了諸多建設(shè)性的參考意見。

伴隨數(shù)字化技術(shù)的不斷演進，漏洞已經(jīng)上升到國家安全戰(zhàn)略資源的新高度，其所帶來的威脅將直接影響到國家安全、社會安全、城市安全、關(guān)鍵基礎(chǔ)設(shè)施安全等。本次ISC2022漏洞與防護前瞻研究論壇的成功召開，將進一步推動數(shù)字安全的高質(zhì)量發(fā)展，為全球數(shù)字空間構(gòu)建出互利共贏的安全新生態(tài)。