国内知名安全厂商360承办的2014年SyScan360国际前瞻信息安全会议,将于7月16日在京举行。据悉,为期两天的SyScan360将带来今年首个安全技术盛宴,演讲议题涉及Windows/Android /iOS/浏览器漏洞挖掘攻击等多领域,其中,安全专家Rosario Valotta将发表《浏览器Fuzzing技术2014》主题演讲,分享浏览器Fuzzing测试技术概况及工作原理。
图:安全专家在360SyScan 大会详解浏览器Fuzzing 技术
据了解,Fuzzing技术是开发者和安全专家们常用的一种新型软件bug自动化测试技术,可有效找出网页浏览器漏洞。此前,有数个有价值的Fuzzing方式和框架被开发出来,其中的一些已经成为标准,并被安全研究社区广泛地采用。随着浏览器厂商提供的漏洞奖金悬赏计划与0day漏洞交易市场的成长,越来越多的研究人员加入浏览器漏洞挖掘的行列。
此外,所有主流浏览器安全厂商都在他们的私有云系统中,同样搭建了数千颗CPU组成的Fuzzing系统,来运行7*24小时的fuzzing任务,因此对于独立安全漏洞研究者来说,能够胜过这些漏洞挖掘巨头的办法,就是使用智能Fuzzing技术,以及关注特定的浏览器API和行为。
作为浏览器fuzzing技术资深专家,Rosario Valotta 将在SyScan360大会上,向与会者说明内存破坏漏洞、浏览器模糊测试技术的概况和局限性,并介绍一种新的针对特定浏览器方面的Fuzzing算法,并解释其背后的工作原理,以及在使用这种方法时发现的一系列可被利用的内存破坏漏洞。
据大会官网显示,Rosario Valotta拥有13年的IT安全领域工作经验,擅长漏洞挖掘以及代码溢出攻击的研究,曾公布过一系列漏洞安全通告,同时也发现了利用浏览器用户界面的攻击、Nduja Fuzzer、Cookiejacking等新的攻击技术。
SyScan安全技术年会已成功举办22次,是亚洲最为知名的网络信息安全会议之一。凭借精彩的竞技项目和“干货”内容,前两届SyScan360在业界赢得了良好口碑,本届SyScan360不仅邀请了数百位全球安全技术精英前来参会,还延续黑客挑战赛的传统,举办电子胸卡破解大赛和智能汽车破解赛,为信息安全爱好者搭建绝佳的交流沟通平台。目前,目前,syscan360.org官网已开启注册,购票折扣仍旧进行中,7月将恢复正常票价。