騰訊年度安全峰會舉辦在即 全球首發前沿議題探尋漏洞攻防之道
責編:gltian |2019-07-26 17:23:407月30日,第五屆互聯網安全領袖峰會(CSS 2019)將在北京開幕。作為CSS 2019開設的七大特色專場論壇之一,騰訊安全探索論壇(TSec)迎來第三屆,將以“前沿科技、尖端對抗”為主題,現場將全球首發眾多前沿技術議題,覆蓋領域不僅橫跨工業界和學術界,演繹產學融合之魅;還通過獨特的研究視角聚焦多個平臺的漏洞挖掘方案,充分詮釋網安人的創造力。更值得期待的是,騰訊安全玄武實驗室負責人于旸(TK教主)也將在現場與觀眾分享其在信息安全道路上的探索、思考與啟發。諸多精彩,不容錯過!
(圖:會議流程)
安全大咖云集,去年“突破獎”得主再登TSec
本屆TSec入圍議題的演講嘉賓均是長期從事網絡安全工作的安全專家,不僅有來自長亭科技、綠盟科技、知道創宇、騰訊等一線企業的研究員,更有來自清華大學、上海交通大學、數學工程與先進計算國家重點實驗室等學術界專家。
更值得關注的是,今年的演講嘉賓有不少都是TSec的老朋友。在去年的TSec上,清華大學副教授張超和搭檔憑借《邁向自動化攻擊的一小步》議題,成功摘得突破獎,捧走4萬獎金。時隔一年之后,張教授依然關注安全問題的“一小步”前進,攜手數學工程與先進計算國家重點實驗室甘水滔博士,分享當前最流行的漏洞挖掘方案——模糊測試的優化空間。此次二人聯手能否摘走突破獎?不禁令人期待。
活躍在各大安全峰會的上海交通大學密碼與計算機安全實驗室蜚語軟件安全小組,同樣再次來到TSec的舞臺。在去年的TSec上,他們帶來了關于智能門鎖的研究成果,今年他們將要分享的內容更加硬核,聚焦源代碼審計和漏洞挖掘,但議題名字卻又十分文藝——《文心雕“蟲”——利用自然語言理解技術發現內存破壞漏洞》,讓人充滿想象。
更值得一提的是,來自綠盟科技的張云海是TSec舞臺上首個連續三屆入圍的嘉賓。他在Windows安全的研究上鉆研頗深,曾連續5年獲得微軟 Mitigation Bypass Bounty 獎勵。在今年的TSec上,他將進一步揭示Windows的安全體系,首次披露一種新型的內核漏洞。
網安人的腦洞有多大?漏洞挖掘最炫姿勢一次看完
重磅安全大咖的亮相,自然要帶著硬核干貨——即將亮相TSec舞臺的前沿技術議題,將從學術界和工業界、Windows和OS、老方法和新思路等各種姿勢充分探究網絡安全最核心的問題——漏洞挖掘的方法及新的挖掘思路。
除了流行的模糊測試外,代碼審計這一經典的漏洞挖掘方式也將亮相TSec。來自長亭科技的黎榮熙將在《對基于Git的版本控制服務的通用攻擊面的探索》中,分享利用靜態代碼審計的方式,發現版本控制軟件中的明星產品——GitLab中的多個漏洞的具體實踐。敲重點,GitLab的多個漏洞發現經歷大發送!
當然,還有從Mysql客戶端攻擊出發,探索真實世界攻擊鏈。2018年,關于Mysql Client attack的細節逐漸被人們挖掘出來,來自Knownsec 404 Team郭垠圻在mysql client端任意文件的feature的基礎之上,探討一些這個漏洞在不同環境下的影響,包括多種信息安全工作者可能會接觸到環境下的具體危害,同時其也將從一些cms的具體利用入手,探討這個漏洞在cms利用上的普適性。
再比如語法解析。不同于目前網絡安全研究者關注SQLite、Chrome、PHP等軟件的代碼以及所使用的第三方庫,來自Tencent Blade Team的兩位高級安全研究員錢文祥和李宇翔,將目光投向了一個共有的攻擊面——語法、文法解析器,而就是這些被大家當作理所當然的地方卻潛伏著諸多安全風險。在TSec的現場,兩位將就Lex & YACC(Flex & Bison)規則的研究過程帶來分享。
來自國家工業信息安全發展研究中心的麻榮寬,將帶來工業界的研究思路。麻榮寬通過對10余家國內外廠商20余款工業控制器的安全性分析之后的,發現了被廠商、用戶和安全研究人員忽略的若干普遍性安全問題。究竟是從未被人發現的隱秘威脅,還是普遍存在卻被大家之前忽視的安全漏洞?TSec現場見分曉。
此外,關注OS平臺安全的研究者也將在TSec收獲良多。獨立安全研究員王偉波將帶來如何通過qemu,批量發現macOS/iOS內核信息泄露漏洞以及其他類型的內核漏洞。盡管信息泄露并不會直接導致內核崩潰,但其在現代漏洞利用過程中的重要性已逐漸被大家重視。同時業界尚無公開討論如何批量發現XNU內核信息泄露的資料,因此王偉波將在本次論壇上首次披露批量化挖掘macOS/iOS內核信息泄露的方法,為信息安全行業從業者后續研究提供了有力的支撐和參考。