今日,2015中国互联网安全大会(ISC)在北京国家会议中心举办。作为亚太地区规模最大、规格最高的网络安全盛会,中国互联网安全大会也被誉为“亚洲的RSA”。据悉,本次大会设立12个分论坛,在其中的“漏洞挖掘与源代码安全论坛”上,X-Focus安全点焦点成员魏强(ID:funnywei),针对X-Frame软件漏洞进行了分析及成果演示。
图1:2015ISC“漏洞挖掘与源代码安全论坛”魏强演讲
据悉,本次漏洞挖掘与源代码安全论坛以“探索攻防新知”为主题,涉及议题包括构建软件漏洞分析基础设施,操作系统漏洞研究,浏览器攻防战等。并且针对“探索攻防新知”这一当下安全领域的最热话题,邀请了业界最具权威的安全技术专家进行现场解析。
本次分论坛的第一个主题为“X-Frame, 构建软件漏洞分析基础设施”,由X-Focus安全点焦点成员魏强,从软件测试角度出发,针对精细化、规模化、逻辑化、可视化的问题,构建基于探索、分析、定位的工作流水线。重点提供路径分析及探索能力,并给出相应的分析算法和相关成果演示。
图2:漏洞挖掘与源代码安全论坛现场爆满
据介绍,魏强是X-Focus安全点焦点成员,并任职解放军信息工程大学副教授,硕士生导师,博导梯队成员。主要从事软件漏洞分析、工业控制系统安全、软件定义网安全等方向的研究。致力于符号执行技术、模糊测试技术、大规模分布式并行软件测试技术的研究。
魏强在现场表示,新时代的漏洞思路已有所改变,传统的挖掘漏洞办法正变得不再适用。期间,魏强还详细介绍了整型溢出、Use-After-Free等漏洞的成因与挖掘思路。“与其发现一个漏洞、挖掘一个漏洞,我们不如去构建一个漏洞,用这种新思路来寻找漏洞”,魏强如是表示。
想构建漏洞,就要找到软件的突破口。针对软件的脆弱性,魏强解释了现状所面临的四维困境,并详细介绍了本次主题——X-Frame分析系统:“该系统以数据化评估、非确定性引入、层次化模型、增量式测试支持作为核心思想,经过勘查探索、监测捕获、错误定位、影响分析等等流程,来实现漏洞的精准发现。”
在演讲尾声,魏强以Two-Level分析及污点分析为例,详细介绍了“X-Frame”在实战中的使用策略。
除了“漏洞挖掘与源代码安全论坛”中的精彩演讲,本届ISC整体规模也更胜往年。此次大会不仅吸引了2.5万人现场参与,还有美国首任网军司令、四星上将基思•亚历山大,中国国际战略学会高级顾问郝叶力,中国现代国际关系研究院张力,Garnter研究副总裁Jay Heise,360公司董事长兼CEO周鸿祎等重量级嘉宾出席演讲。