12月13日,國際頂級的安全技術峰會syscan360(首次在北京舉行。國內最大的安全廠商360作為會議承辦方,邀請了來自微軟、谷歌等世界頂級專家演講,360工程師任寰和王宇作為國內廠商代表也將分享最新的研究成果。在第一天會議上,來自coseinc公司的高階分析師moti jospeh發表了題為《ie瀏覽器中的記憶體破壞利用》的主題演講,受到現場數百名與會者的歡迎。
作為coseinc公司的高階安全漏洞研究員、移動開發人員,moti jospeh介紹了最近微軟公司ie瀏覽器的多種漏洞,都是通過記憶體破壞的方式實現的。他總結,任何程式中的bug都可分為兩類:一種是bug導致錯誤**被執行,程式會立刻產生明顯的異常行為;一種是bug破壞變數、資料結構、檔案等程式狀態,程式會在之後的某個時刻表現出異常。
moti表示,有些黑客熱衷於尋找記憶體破壞漏洞,除了為出名以外,謀取經濟利益也是主要原因,有時程式的錯誤就是黑客的金錢。他舉例說,adobe軟體曾被某黑客發現乙個漏洞,最終以7.5萬美元(約合51.2萬人民幣)的****。他表示,在這樣高額的收入**下,黑客尋找漏洞的熱情自然很高。對於軟體廠商來說,這顯然是嚴峻的挑戰。
moti介紹,目前0day漏洞的平均**因軟體不同也有較大差異,其中adobe軟體漏洞**較低,平均0.5萬至3萬美元乙個。相對來說,ie和chrome瀏覽器漏洞、ios系統漏洞**較高ios漏洞**可高達10萬至25萬美元。
moti jospeh還現場演示了一些漏洞被執行的情況。他總結出了尋找記憶體破壞漏洞的三種主要方法:fuzz技術、二進位制審查和上網搜尋。
syscan前瞻資訊保安技術年會是亞洲最為知名的網路資訊保安會議之一,自2023年在新加坡首次舉辦以來已成功了8次會議。今年syscan首次登陸北京,攜手中國第一大網際網路安全公司奇虎360合力舉辦,開放時間為12月13日至14日,來自谷歌、微軟、麥咖啡、趨勢科技、奇虎360等國際安全廠商和安全組織的專家發表主題演講,覆蓋windows核心、瀏覽器以及移動網際網路三大安全領域
國外測試專家BLOG位址
從 測試之美 附錄爬蟲式找到的一些質量保證領域專家blog。歡迎在外企的朋友幫忙補充。微軟測試專家blog jennitta andrea twitter 效能測試scott barber rex black adamchristian isaac clerencia facebook titter...
美安全專家稱伊朗正招募黑客部隊攻擊美國
參考訊息網4月27 道 美國安全專家警告國會,伊朗正在招募組建一支黑客部隊,從而在未來與美國的對抗中把美國的電網 供水系統和其他重要的基礎設施作為網路攻擊的目標。據美國 華盛頓時報 報道,來自眾議院國土安全委員會小組委員會的議員26日就伊朗構成的網路威脅舉行聽證會。強硬派的美國對外政策理事會副主席伊...
不會輯不能稱黑客
龍銘洪的部落格是關於網際網路的各種技術,電腦,程式設計,設計,開發,系統,資料庫,管理,黑客。這裡給大家說說幾本有用的書。1.黑客入門 2.30天打造專業紅客 3.防黑檔案 4.黑客攻防實踐入門 5.c語言程式設計 the c programe language 6.vc 深入了解 7.ibm pc...