链动未来·技术前瞻
“人工智能辅助的漏洞研究将成为最重要的技术手段之一”。
——绿盟科技天机实验室 主任研究员 张云海
随着信息技术的迅猛发展,漏洞挖掘与修复成为了保障网络安全的重要一环。然而,漏洞的修复并非只是简单的补丁覆盖,它需要安全人员综合考虑多个因素。修复方案的正确性、有效性和完整性是不容忽视的,同时还必须要兼顾性能、稳定性、兼容性以及易用性等方面的影响。这种权衡考量往往需要在有限的时间内达到平衡,以确保修复不会引入更多的问题,即漏洞修复本身可能会孕育新的漏洞。
在过往的实践中,研究人员发现,修复漏洞的过程中,往往修复位置会成为黑客新的攻击目标。一旦攻击者成功突破修复,新的漏洞就会产生。因此,为了避免已修复的漏洞以新的形式再次出现,需要做到:保证合法性校验的有效性、修复所有相似逻辑的代码、找到并修复真正的根因问题、避免系统特性被滥用。另一方面,漏洞修复暴露出漏洞的模式特征,将有可能被用来寻找相似的漏洞。
为了更好地揭示漏洞挖掘与修复之间的相互关系,本届XCon2023大会上,来自绿盟科技天机实验室的主任研究员张云海,将为我们带来《Find Vulnerability From The Fix Of Vulnerability》(从漏洞修复中寻找漏洞)的议题分享,剖析漏洞修复的多面性以及其与新漏洞发现的紧密联系。
在这个议题下,案例分析将为我们呈现出不同维度的洞察力。首先,我们可以从不同类型的软件漏洞修复中提取共性,了解不同种类漏洞之间的联系。其次,我们可以聚焦于攻击者如何针对修复进行反击,从而预测可能的攻击手段。最后,案例分析还将揭示修复过程中所暴露的漏洞模式特征,为新漏洞的挖掘提供线索。
议题简介
《Find Vulnerability From The Fix Vulnerability》
本议题将对一系列的通过分析漏洞补丁来寻找新漏洞的案例进行深入剖析,通过案例分析来找到其相通之处并总结规律,最后在此基础之上给出一些更好的修复漏洞的建议。
演讲人介绍
张云海——绿盟科技天机实验室 主任研究员
张云海,绿盟科技天机实验室主任研究员。从事信息安全行业十八年,主要研究方向为高级漏洞利用技术与攻防对抗。曾经在 Black Hat、Blue Hat、DEF CON、POC、XCon、CSS TSec、VARA等安全会议上进行过主题演讲。自2014年起连续5年获得微软 Mitigation Bypass Bounty奖励。
XCon2023
会议日程全曝光
☆购票通道同步开启
【链动者】¥0,展商互动区+XReward开放路演区可通行,不含闭门演讲、自助午餐及会刊
【先锋·造链者】¥2090,全场可通行,含闭门演讲+年度会刊(不含餐)。
【突围·造链者】¥2790,全场可通行,含闭门演讲+自助午餐+年度会刊
【全速·造链者】¥4500,仅限会议当日现场购买,不支持票券折扣