2014SyScan360——瀏覽器Fuzzing技術
責編:admin |2014-07-17 18:56:502014年7月16日,由SyScan主辦,360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天,作為本次大會的最后一天,將有更加精彩的內容呈現給與會者。據悉,今天將有6個議題逐一呈現給大家,此外也將宣布特斯拉破解的最終結果以及電子門卡的破解活動。
上午9點來自意大利羅馬的一位擁有13年IT安全領域工作經驗的專家Rosario Valotta進行了有關瀏覽器Fuzzing技術的主題演講。
近年來,Fuzzing技術已被證明可以非常有效地找出網頁瀏覽器漏洞。而在過去的一段時間,有數個有價值的Fuzzing方式和框架被開發出來,其中的一些成為標準,并被安全研究社區廣泛地采用。隨著瀏覽器廠商提供的漏洞獎金懸賞計劃與0day漏洞交易市場的成長,更多研究人員加入瀏覽器漏洞挖掘的行列。此外,所有主流瀏覽器安全廠商都在他們的私有云系統中,搭建了由數千顆CPU組成的Fuzzing系統,來運行7*24小時的fuzzing任務,因此對于獨立安全漏洞研究者來說,能夠勝過這些漏洞挖掘巨頭的辦法,就是使用智能Fuzzing技術,以及關注特定的瀏覽器API和行為。
在這個議題中Rosario Valotta充分說明目前對于內存破壞漏洞、瀏覽器模糊測試技術的概況和局限性,隨后向與會者介紹了一種新的針對特定瀏覽器方面的Fuzzing算法,并解釋其背后的工作原理,以及在使用這種方法時發現的一系列可被利用的內存破壞漏洞。
Rosario Valotta在演講中特別提到,為什么用fuzzing?因為大多數時候我們發現內存破壞的漏洞,為什么在軟件當中我們需要有這樣一些工具?因為我們看到對目標機器的控制,為什么要在瀏覽器上用這個fuzzing,因為現在瀏覽器是無處不在的。所以如果瀏覽器出現漏洞的話,會有成億的人,而且會有數千萬行的代碼不斷的加進去。
Rosario Valotta也提到了最近幾年當中很多的禁用條件,通過研究Rosario Valotta表示目前有兩個來源可能會導致禁用的條件:事件和網絡的互動。
Rosario Valotta表示:“基本上瀏覽器都是由事件驅動的,每一個網頁上引發的活動都會觸發事件,當事件發生就會排隊,進行依次的訪問,這樣就可以看到這種事件的時間管理是一個循序發生的事情,也就是觸動這個事件然后進行事件排隊,然后處理。”
Rosario Valotta向與會者分享了自己的fuzzing,也將在未來一兩周后公布其原型和源代碼,期待更多的人一起進行研究。Rosario Valotta最后表示:fuzzing需要各種不同的平臺要測試,我想要充分的利用這個網絡協議堆棧來實現,還有非移動的平臺,還有移動的,也希望大家都做一下測試,使用不同的API來做。此外還有一種就是跨引擎的方法在IE瀏覽器上面,也擴展到我們的Vbcript。