压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天，作為本次大會的最后一天，將有更加精彩的內(nèi)容呈現(xiàn)給與會者。據(jù)悉，今天將有6個議題逐一呈現(xiàn)給大家，此外也將宣布特斯拉破解的最終結(jié)果以及電子門卡的破解活動。

　　上午9點(diǎn)來自意大利羅馬的一位擁有13年IT安全領(lǐng)域工作經(jīng)驗(yàn)的專家Rosario Valotta進(jìn)行了有關(guān)瀏覽器Fuzzing技術(shù)的主題演講。

　　近年來，F(xiàn)uzzing技術(shù)已被證明可以非常有效地找出網(wǎng)頁瀏覽器漏洞。而在過去的一段時(shí)間，有數(shù)個有價(jià)值的Fuzzing方式和框架被開發(fā)出來，其中的一些成為標(biāo)準(zhǔn)，并被安全研究社區(qū)廣泛地采用。隨著瀏覽器廠商提供的漏洞獎金懸賞計(jì)劃與0day漏洞交易市場的成長，更多研究人員加入瀏覽器漏洞挖掘的行列。此外，所有主流瀏覽器安全廠商都在他們的私有云系統(tǒng)中，搭建了由數(shù)千顆CPU組成的Fuzzing系統(tǒng)，來運(yùn)行7*24小時(shí)的fuzzing任務(wù)，因此對于獨(dú)立安全漏洞研究者來說，能夠勝過這些漏洞挖掘巨頭的辦法，就是使用智能Fuzzing技術(shù)，以及關(guān)注特定的瀏覽器API和行為。

　　在這個議題中Rosario Valotta充分說明目前對于內(nèi)存破壞漏洞、瀏覽器模糊測試技術(shù)的概況和局限性，隨后向與會者介紹了一種新的針對特定瀏覽器方面的Fuzzing算法，并解釋其背后的工作原理，以及在使用這種方法時(shí)發(fā)現(xiàn)的一系列可被利用的內(nèi)存破壞漏洞。

　　Rosario Valotta在演講中特別提到，為什么用fuzzing？因?yàn)榇蠖鄶?shù)時(shí)候我們發(fā)現(xiàn)內(nèi)存破壞的漏洞，為什么在軟件當(dāng)中我們需要有這樣一些工具？因?yàn)槲覀兛吹綄δ繕?biāo)機(jī)器的控制，為什么要在瀏覽器上用這個fuzzing，因?yàn)楝F(xiàn)在瀏覽器是無處不在的。所以如果瀏覽器出現(xiàn)漏洞的話，會有成億的人，而且會有數(shù)千萬行的代碼不斷的加進(jìn)去。

　　Rosario Valotta也提到了最近幾年當(dāng)中很多的禁用條件，通過研究Rosario Valotta表示目前有兩個來源可能會導(dǎo)致禁用的條件：事件和網(wǎng)絡(luò)的互動。

　　Rosario Valotta表示：“基本上瀏覽器都是由事件驅(qū)動的，每一個網(wǎng)頁上引發(fā)的活動都會觸發(fā)事件，當(dāng)事件發(fā)生就會排隊(duì)，進(jìn)行依次的訪問，這樣就可以看到這種事件的時(shí)間管理是一個循序發(fā)生的事情，也就是觸動這個事件然后進(jìn)行事件排隊(duì)，然后處理。”

　　Rosario Valotta向與會者分享了自己的fuzzing，也將在未來一兩周后公布其原型和源代碼，期待更多的人一起進(jìn)行研究。Rosario Valotta最后表示：fuzzing需要各種不同的平臺要測試，我想要充分的利用這個網(wǎng)絡(luò)協(xié)議堆棧來實(shí)現(xiàn)，還有非移動的平臺，還有移動的，也希望大家都做一下測試，使用不同的API來做。此外還有一種就是跨引擎的方法在IE瀏覽器上面，也擴(kuò)展到我們的Vbcript。