日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

2014年7月16日，由SyScan主辦，360公司承辦的SyScan360國際前瞻信息安全會議隆重召開。今天，作為本次大會的***一天，將有更加精彩的內(nèi)容呈現(xiàn)給與會者。據(jù)悉，今天將有6個議題逐一呈現(xiàn)給大家，此外也將宣布特斯拉破解的最終結(jié)果以及電子門卡的破解活動。

上午9點(diǎn)來自意大利羅馬的一位擁有13年IT安全領(lǐng)域工作經(jīng)驗(yàn)的專家Rosario Valotta進(jìn)行了有關(guān)瀏覽器Fuzzing技術(shù)的主題演講。

IT安全領(lǐng)域?qū)＜襌osario Valotta

近年來，F(xiàn)uzzing技術(shù)已被證明可以非常有效地找出網(wǎng)頁瀏覽器漏洞。而在過去的一段時間，有數(shù)個有價(jià)值的Fuzzing方式和框架被開發(fā)出來，其中的一些成為標(biāo)準(zhǔn)，并被安全研究社區(qū)廣泛地采用。隨著瀏覽器廠商提供的漏洞獎金懸賞計(jì)劃與0day漏洞交易市場的成長，更多研究人員加入瀏覽器漏洞挖掘的行列。此外，所有主流瀏覽器安全廠商都在他們的私有云系統(tǒng)中，搭建了由數(shù)千顆CPU組成的Fuzzing系統(tǒng)，來運(yùn)行7*24小時的fuzzing任務(wù)，因此對于獨(dú)立安全漏洞研究者來說，能夠勝過這些漏洞挖掘巨頭的辦法，就是使用智能Fuzzing技術(shù)，以及關(guān)注特定的瀏覽器API和行為。

在這個議題中Rosario Valotta充分說明目前對于內(nèi)存破壞漏洞、瀏覽器模糊測試技術(shù)的概況和局限性，隨后向與會者介紹了一種新的針對特定瀏覽器方面的Fuzzing算法，并解釋其背后的工作原理，以及在使用這種方法時發(fā)現(xiàn)的一系列可被利用的內(nèi)存破壞漏洞。

Rosario Valotta在演講中特別提到，為什么用fuzzing?因?yàn)榇蠖鄶?shù)時候我們發(fā)現(xiàn)內(nèi)存破壞的漏洞，為什么在軟件當(dāng)中我們需要有這樣一些工具?因?yàn)槲覀兛吹綄δ繕?biāo)機(jī)器的控制，為什么要在瀏覽器上用這個fuzzing，因?yàn)楝F(xiàn)在瀏覽器是無處不在的。所以如果瀏覽器出現(xiàn)漏洞的話，會有成億的人，而且會有數(shù)千萬行的代碼不斷的加進(jìn)去。

Rosario Valotta也提到了最近幾年當(dāng)中很多的禁用條件，通過研究Rosario Valotta表示目前有兩個來源可能會導(dǎo)致禁用的條件：事件和網(wǎng)絡(luò)的互動。

Rosario Valotta表示：“基本上瀏覽器都是由事件驅(qū)動的，每一個網(wǎng)頁上引發(fā)的活動都會觸發(fā)事件，當(dāng)事件發(fā)生就會排隊(duì)，進(jìn)行依次的訪問，這樣就可以看到這種事件的時間管理是一個循序發(fā)生的事情，也就是觸動這個事件然后進(jìn)行事件排隊(duì)，然后處理?！?/p>

Rosario Valotta向與會者分享了自己的fuzzing，也將在未來一兩周后公布其原型和源代碼，期待更多的人一起進(jìn)行研究。Rosario Valotta***表示：fuzzing需要各種不同的平臺要測試，我想要充分的利用這個網(wǎng)絡(luò)協(xié)議堆棧來實(shí)現(xiàn)，還有非移動的平臺，還有移動的，也希望大家都做一下測試，使用不同的API來做。此外還有一種就是跨引擎的方法在IE瀏覽器上面，也擴(kuò)展到我們的Vbcript。

網(wǎng)站欄目：2014SyScan360——瀏覽器Fuzzing技術(shù)
網(wǎng)站網(wǎng)址：http://www.dlmjj.cn/article/dhijpgc.html