2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC)在北京國家會(huì)議中心舉辦。作為亞太地區(qū)規(guī)模最大、規(guī)格最高的網(wǎng)絡(luò)安全盛會(huì)，中國互聯(lián)網(wǎng)安全大會(huì)也被譽(yù)為“亞洲的RSA”。據(jù)悉，本次大會(huì)設(shè)立12個(gè)分論壇，在其中的“漏洞挖掘與源代碼安全論壇”上，X-Focus安全點(diǎn)焦點(diǎn)成員魏強(qiáng)(ID:funnywei)，針對X-Frame軟件漏洞進(jìn)行了分析及成果演示。

本次漏洞挖掘與源代碼安全論壇以“探索攻防新知”為主題，涉及議題包括構(gòu)建軟件漏洞分析基礎(chǔ)設(shè)施，操作系統(tǒng)漏洞研究，瀏覽器攻防戰(zhàn)等。并且針對“探索攻防新知”這一當(dāng)下安全領(lǐng)域的最熱話題，邀請了業(yè)界最具權(quán)威的安全技術(shù)專家進(jìn)行現(xiàn)場解析。

論壇的第一個(gè)主題為“X-Frame, 構(gòu)建軟件漏洞分析基礎(chǔ)設(shè)施”，由X-Focus安全點(diǎn)焦點(diǎn)成員魏強(qiáng)，從軟件測試角度出發(fā)，針對精細(xì)化、規(guī)?；?、邏輯化、可視化的問題，構(gòu)建基于探索、分析、定位的工作流水線。重點(diǎn)提供路徑分析及探索能力，并給出相應(yīng)的分析算法和相關(guān)成果演示。

據(jù)介紹，魏強(qiáng)是X-Focus安全點(diǎn)焦點(diǎn)成員，并任職解放軍信息工程大學(xué)副教授，碩士生導(dǎo)師，博導(dǎo)梯隊(duì)成員。主要從事軟件漏洞分析、工業(yè)控制系統(tǒng)安全、軟件定義網(wǎng)安全等方向的研究。致力于符號執(zhí)行技術(shù)、模糊測試技術(shù)、大規(guī)模分布式并行軟件測試技術(shù)的研究。

魏強(qiáng)在現(xiàn)場表示，新時(shí)代的漏洞思路已有所改變，傳統(tǒng)的挖掘漏洞辦法正變得不再適用。期間，魏強(qiáng)還詳細(xì)介紹了整型溢出、Use-After-Free等漏洞的成因與挖掘思路?！芭c其發(fā)現(xiàn)一個(gè)漏洞、挖掘一個(gè)漏洞，我們不如去構(gòu)建一個(gè)漏洞，用這種新思路來尋找漏洞”，魏強(qiáng)如是表示。

想構(gòu)建漏洞，就要找到軟件的突破口。針對軟件的脆弱性，魏強(qiáng)解釋了現(xiàn)狀所面臨的四維困境，并詳細(xì)介紹了本次主題——X-Frame分析系統(tǒng)：“該系統(tǒng)以數(shù)據(jù)化評估、非確定性引入、層次化模型、增量式測試支持作為核心思想，經(jīng)過勘查探索、監(jiān)測捕獲、錯(cuò)誤定位、影響分析等等流程，來實(shí)現(xiàn)漏洞的精準(zhǔn)發(fā)現(xiàn)。”

在演講尾聲，魏強(qiáng)以Two-Level分析及污點(diǎn)分析為例，詳細(xì)介紹了“X-Frame”在實(shí)戰(zhàn)中的使用策略。

除了“漏洞挖掘與源代碼安全論壇”中的精彩演講，本屆ISC整體規(guī)模也更勝往年。此次大會(huì)不僅吸引了2.5萬人現(xiàn)場參與，還有美國首任網(wǎng)軍司令、四星上將基思?亞歷山大，中國國際戰(zhàn)略學(xué)會(huì)高級顧問郝葉力，中國現(xiàn)代國際關(guān)系研究院張力，Garnter研究副總裁Jay Heise，360公司董事長兼CEO周鴻祎等重量級嘉賓出席演講。

安全網(wǎng)生活小知識鏈接：xFrame是什么

xFrame這是一個(gè)基于PHP+XSLT技術(shù)實(shí)現(xiàn)的面向?qū)ο骔eb應(yīng)用程序快速開發(fā)框架。

特點(diǎn)：xFrame采用Simple Active Record模式實(shí)現(xiàn)保存、加載、刪除記錄，并能夠?qū)⒂涗泴?dǎo)成XML格式。集成memcached實(shí)現(xiàn)頁面和數(shù)據(jù)庫查詢的緩存。提供詳細(xì)的錯(cuò)誤報(bào)告框 架，AES加密類、日志記錄類，資源認(rèn)證。

更多資訊內(nèi)容請關(guān)注本安全網(wǎng)信息安全頻道。如果想了解生活小知識和安全用品也可關(guān)注本網(wǎng)的你知道嗎、品鑒、科普和話題頻道。讓你的生活更安心。