17日,由国内知名安全厂商360承办的2014年SyScan360国际前瞻信息安全会议,进入第二天。更多的有趣的议题被国内外顶尖专家精彩演绎,其中拥有13年IT安全工作经验的专家Rosario Valotta发表了《浏览器Fuzzing技术2014》的主题演讲,分享浏览器Fuzzing测试技术概况及工作原理。
图:安全专家Rosario Valotta在2014 SyScan360大会详解浏览器Fuzzing技术
据了解,Fuzzing技术是开发者和安全专家们常用的一种新型软件bug自动化测试技术,已经被证明可有效找出网页浏览器漏洞。此前,有数个有价值的Fuzzing方式和框架被开发出来,其中的一些已经成为标准,并被安全研究社区广泛地采用。由于浏览器厂商提供的漏洞奖金悬赏计划与0day漏洞交易市场的成长,越来越多的研究人员加入浏览器漏洞挖掘的行列,甚至成为一条新型的产业链。
目前所有主流浏览器安全厂商都在他们的私有云系统中,同样搭建了数千颗CPU组成的Fuzzing系统,来运行7*24小时的fuzzing任务,因此对于独立安全漏洞研究者来说,能够胜过这些漏洞挖掘巨头的办法,就是使用智能Fuzzing技术,以及关注特定的浏览器API和行为。
Rosario Valotta在演讲中详细讲解了关于内存破坏漏洞、浏览器模糊测试技术的概况和局限性,并介绍一种新的针对特定浏览器方面的Fuzzing算法,解释其背后的工作原理,以及在使用这种方法时发现的一系列可被利用的内存破坏漏洞。
据悉,2014 SyScan360为期两天,邀请了来自美、意、西、葡等9个地区的18个顶级安全专家,以及700多网络高手参与,专注探讨互联网信息安全前瞻技术。大会议题涵盖PC、移动、智能硬件等多个安全热点。同时也是除了黑帽大会外,安全专家最爱发布最新研究成果的安全盛会。