CSS 2019騰訊安全探索論壇圓滿落幕 聚焦漏洞研究探索信息安全防護新思路

時間:2019-08-05 00:33:27編輯:郯小編

  7月30日在北京國際飯店,迎來了備受網安圈關注的第五屆互聯網安全領袖峰會(簡稱CSS 2019)。作為峰會的主題特色論壇之一,本屆騰訊安全探索論壇(TSec)以“前沿科技、尖端對抗”為主題,吸引了數學工程與先進計算國家重點實驗室、清華大學、綠盟科技等產學研大咖,聯袂首發諸多前沿信息安全議題,探討全球信息安全領域前沿技術、研究成果及未來趨勢。

  在致辭中,騰訊安全玄武實驗室負責人于旸(TK教主)表示,希望以此次騰訊年度安全峰會為契機,騰訊安全將更多地參與全球網絡安全生態建設,促進產學研各界形成合力,為加速技術創新、共享重要技術成果搭建一個長期、持續的溝通合作平臺,進而推動產業互聯網時代的安全技術發展。

  安全漏洞作為威脅互聯網安全的主因,自然是各大安全論壇的焦點話題。在本屆TSec上,演講嘉賓圍繞源代碼審計、模糊測試、語義解析漏洞、內核信息泄露等細分領域展示最新技術與應用的工具檢測研究成果,給正在從事研究和應用的業內人士帶來諸多實踐價值和有益參考,直接將現場氣氛推向高潮。

  數學工程與先進計算國家重點實驗室助理研究員甘水滔與清華大學副教授張超發表了題為《流敏感的模糊測試系統》的演講。提及模糊測試,甘水滔認為這種挖掘方案是一把“雙刃劍”,且本身存在一定的局限性。對此,兩位博士針對模糊測試中的控制流反饋信息不精確、控制流和數據流不敏感等問題,分別提出了“高精度覆蓋率跟蹤”、“控制流敏感的模糊測試”、“數據流敏感的模糊測試”等三款解決方案,構建出流敏感的模糊測試系統,受到現場觀眾的強烈反響。

  而Tencent Blade Team高級研究員錢文祥與李宇翔則聚焦“語法、文法解析器共用的攻擊面”問題,通過實證提出“挖掘語法解析器規則漏洞”這一問題,以Lex & YACC(Flex & Bison) 規則方面為例進行了詳細分析,并在此基礎上總結了語法解析器規則漏洞的主要成因,并提供了審計規則的通用思路,讓安全研究人員能夠簡單、快速、高效地發現規則中的漏洞。

  針對自定義內存管理函數引發的安全問題,上海交通大學王健強研發出一款具備自然語言處理能力的源代碼內存安全漏洞檢測工具NLP-EYE,可快速幫助使用者提高現有源代碼安全檢測能力,讓關注源代碼審計的極客印象極為深刻。在內核信息泄露方面,獨立安全研究員王偉波以CVE-2019-8540漏洞為例,首次披露通過基于qemu批量化挖掘macOS/iOS內核信息泄露的研究方法,并詳細講述如何通過qemu去發現其他類型的內核漏洞,以期給企業更好的安全設計及防御思路。

  眾所周知,安全漏洞是信息系統中客觀存在的事實,是引發網絡系統不安全的核心因素。針對信息系統安全漏洞的研究對保護網絡安全和信息安全有著重要意義,對信息安全工作者有著重要的理論價值和實際意義。

  在本屆TSec上,來自綠盟科技的張云海在現場揭秘了Windows操作系統背后不為人知的漏洞原理,并以實際漏洞為例,現場演示物理頁面混淆(PPC)漏洞的技術原理、攻擊模型、利用方法。據其介紹,此次發現是基于Windows 操作系統使用分頁機制來管理內存的原理,這種特殊訪問模式可以讓系統使用錯誤的頁表來進行地址轉換,直接導致內存破壞漏洞,對此將其稱之為物理頁面混淆(PPC)。

  解放軍信息工程大學在讀博士研究生麻榮寬的關注點則在“工控系統核心安全”上,他以10余家國內外廠商20余款工業控制器進行分析,詳細介紹了當前控制器中普遍存在的認證和授權機制缺陷,邏輯炸彈危害和控制器遠程代碼執行的方法,以及可能造成基礎設施的破壞性影響。

  長亭科技黎榮熙在演講中分享了《對基于Git的版本控制服務的通用攻擊面的探索》。他以利用靜態分析進行代碼審計角度切入,詳細介紹Git的一些不為人知的特性和發現GitLab的多個漏洞經歷,并提出一種如何避免在開發類似應用時出現相似漏洞的思路。此外,Knownsec 404 Team安全研究員郭垠圻對Mysql Client attack細節研究有著獨到的視角,詳細介紹此漏洞在不同環境下的影響,以及從CMS的具體利用入手,探討該漏洞在CMS利用上的普適性。

  迄今為止,TSec現已連續舉辦三屆,并逐漸成為一個具有國際范疇的安全技術展示與未來趨勢探討的安全盛會。本屆論壇聚焦產業互聯網時代最具技術含量和亮點的移動安全、物聯網安全等熱門領域信息安全發展需求,為全球信息安全的發展,提供學術和創新支持。

  在過去兩年中,來自谷歌、McAfee、清華大學、中科院、埃因霍芬理工大學等全球頂尖研究團隊的安全專家都曾來到TSec的舞臺,并在此首發重磅議題,推進了漏洞攻防、移動安全、物聯網安全等熱門領域的研究深度與廣度。

  伴隨著AI、大數據、云計算及5G等新技術發展,傳統產業數字化進程不斷深化,網絡安全在產業互聯網時代或將迎來爆發式增長的全新階段。國際安全技術各前沿領域應形成合力,在各產業的重點技術上互通有無、相互激發、加速創新、形成突破,并將這些技術能力通過合作、共享等方式快速覆蓋安全產業鏈的生態協同體系。

  在產業安全提速發展的背后,是產業升級背景下的安全價值升維。產業互聯網時代,安全已經從原來的“成本中心”逐步發展成為企業參與市場競爭的核心競爭力之一。未來,騰訊安全將繼續踐行科技向善的使命,建立以覆蓋安全產業鏈的生態協同體系,共同承擔產業互聯網安全責任,護航數字經濟發展。

  關注ITBear科技資訊公眾號(itbear365 ),每天推送你感興趣的科技內容。

  特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。

  自6月初工信部正式發放5G商用牌照以來,5G手機體驗成為全社會熱議的話題。隨著中興天機Axon 10 Pro ...

  7月30日在北京國際飯店,迎來了備受網安圈關注的第五屆互聯網安全領袖峰會(簡稱CSS 2019)。作為峰會...

  7月31日上午,騰訊年度最重磅安全峰會第五屆互聯網安全領袖峰會(Cyber Security Summ...

  7月31日,權威調研機構Counterpoint發布了2019年Q2印度高端智能手機市場報告。數據顯示,2019年Q2印度...

  7月30日-31日,第五屆互聯網領袖安全峰會(CSS 2019)在北京國際飯店召開。騰訊與中國鐵塔股份有限公...

  iPhone XR作為最便宜的全面屏iPhone,憑借著較低的價格為蘋果帶來了不錯的銷量。8月1日消息,外媒曝...

  8月1日消息,據外媒 Macrumors 報道,近日,花旗研究部(Citi Research)公布了一份預測報告,在報告...

  一年一度的818購物節提上日程,全民消費熱情持續升溫,各行各業迎來消費升級的重要階段。近年來,在...

  近日,個推品牌沙龍“人人都是增長官”第三站來到了北京。本次活動,個推攜手運營小咖秀...

  炎炎夏日,空調成為“續命”必需品。銷售井噴背后,有這樣一群默默無聞的功臣&mda...

  近日,北戴河4A級風景區碧螺塔海上酒吧公園與來電科技達成合作,獨家引進來電共享充電寶,掀起了景區便...

  2019年7月25日,友盟+在阿里云上海峰會上正式推出“友盟云”,通過友盟+近10年來...

  新互聯網時代,信息迭代速度遠大于用戶瀏覽速度,用戶碎片化時間擁堵,原創信息生命周期短暫供不應求,...

  數字政府”建設離不開數據流動技術的加入。在第十四屆中國電子政務論壇暨首屆“數字政府&...

  8月1日,三維家“印跡中國尋找家居新勢力”將在長春艾博麗思大酒店隆重舉行。分...

  7月25日,阿里云峰會上海在上海世博中心盛大舉行!作為本次阿里云峰會上唯一的家居工業互聯...

  互聯網和移動互聯網時代的“商業模式創新”帶來的投資紅利,隨著宏觀經濟環境、金融環境...

  1927年8月1日,中國工農紅軍發起南昌起義,打響武裝反抗反動派的第一槍,經過多年的艱苦奮斗...

  這個車是我置換買的二手車,在瓜子二手車買的,換掉了之前的兩廂POLO,買的時候它跑了差不多6萬公里...

  首先介紹一下什么是DSP芯片:DSP(Digital Signal Process)即數字信號處理器,也可稱為DSP基帶芯片,...

  本站文章來源于網絡:


免責聲明:本站 郯城網 http://www.rxumgu.icu/bencandy.php?fid=46&id=292525&page=1 文章均來源于網絡,如有侵權違法請聯系刪除!
相關閱讀
精彩圖文
為您推薦
熱點排行
Copyright 2014-2017 http://www.rxumgu.icu 郯城網(京ICP備14046800號-3) 版權所有 禁止鏡像 如有違法信息聯系站長E-mail:[email protected]
贵州快三0620026