人民网>>人民网通信频道>>滚动新闻

2014 SyScan360:详解“浏览器Fuzzing技术”

2014年07月17日14:25    来源:飞象网    手机看新闻
原标题:2014 SyScan360:安全专家详解“浏览器Fuzzing技术”

  17日,由国内知名安全厂商360承办的2014年SyScan360国际前瞻信息安全会议,进入第二天。更多的有趣的议题被国内外顶尖专家精彩演绎,其中拥有13年IT安全工作经验的专家RosarioValotta发表了《浏览器Fuzzing技术2014》的主题演讲,分享浏览器Fuzzing测试技术概况及工作原理。

  图:安全专家RosarioValotta在2014SyScan360大会详解浏览器Fuzzing技术

  据了解,Fuzzing技术是开发者和安全专家们常用的一种新型软件bug自动化测试技术,已经被证明可有效找出网页浏览器漏洞。此前,有数个有价值的Fuzzing方式和框架被开发出来,其中的一些已经成为标准,并被安全研究社区广泛地采用。由于浏览器厂商提供的漏洞奖金悬赏计划与0day漏洞交易市场的成长,越来越多的研究人员加入浏览器漏洞挖掘的行列,甚至成为一条新型的产业链。

  目前所有主流浏览器安全厂商都在他们的私有云系统中,同样搭建了数千颗CPU组成的Fuzzing系统,来运行7*24小时的fuzzing任务,因此对于独立安全漏洞研究者来说,能够胜过这些漏洞挖掘巨头的办法,就是使用智能Fuzzing技术,以及关注特定的浏览器API和行为。

  RosarioValotta在演讲中详细讲解了关于内存破坏漏洞、浏览器模糊测试技术的概况和局限性,并介绍一种新的针对特定浏览器方面的Fuzzing算法,解释其背后的工作原理,以及在使用这种方法时发现的一系列可被利用的内存破坏漏洞。

  据悉,2014SyScan360为期两天,邀请了来自美、意、西、葡等9个地区的18个顶级安全专家,以及700多网络高手参与,专注探讨互联网信息安全前瞻技术。大会议题涵盖PC、移动、智能硬件等多个安全热点。同时也是除了黑帽大会外,安全专家最爱发布最新研究成果的安全盛会。

(责编:张歌、赵超)


注册/登录
发言请遵守新闻跟帖服务协议   

使用其他账号登录: 新浪微博帐号登录 QQ帐号登录 人人帐号登录 百度帐号登录 豆瓣帐号登录 天涯帐号登录 淘宝帐号登录 MSN帐号登录 同步:分享到人民微博  

社区登录
用户名: 立即注册
密  码: 找回密码
  
  • 最新评论
  • 热门评论
查看全部留言

24小时排行 | 新闻频道留言热帖