數字時代，一切都架構在軟件、網絡、大數據之上，安全漏洞數量持續增長，類型日趨多樣化，眾多事件型漏洞及高危零日漏洞已成為具備強大威懾力的武器，讓全球數字空間面臨著前所未有的威脅挑戰。

為有效聯動各方共同應對漏洞威脅，第十屆互聯網安全大會(ISC2022)漏洞與防護前瞻研究論壇于近日成功舉辦。本次論壇重磅邀請業內權威安全專家、白帽黑客代表、技術負責人，基于不同的漏洞安全問題、漏洞利用細節、漏洞防護策略等，共同探討應對漏洞威脅挑戰的破局之道，助力全方位保障數字空間免受潛在威脅。

由于Fuzzing是當下最常用的軟件漏洞自動化發現技術，中科院軟件所副研究員和亮在《面向釋放后重用漏洞的根因分析和修復》的主題演講中表示，現實場景中，伴隨模糊測試技術的不斷發展，崩潰的數量越來越多，能力也越來越強。這種前提下，漏洞根因分析可以有效呈現漏洞的可利用性和產生原因，對于漏洞的修復有著不可或缺的推動作用。

【資料圖】

中科院軟件所副研究員和亮

奇點實驗室高級安全研究員馮柱天和奇點實驗室安全研究員何豪杰則在《JS漏洞的挖掘與利用》的主題演講中，重點對于現有JSFuzzing技術進行了全面的介紹與回顧，基于傳統覆蓋率導向方法在LanguageFuzzing領域的提升和泛化，提出了其設計的一種全新的JS樣本評估方法，并介紹了一個通過Fuzzing系統發現的具有代表性的V8引擎安全漏洞。

奇點實驗室高級安全研究員馮柱天

奇點實驗室安全研究員何豪杰

360漏洞研究院安全研究員姜偉鵬也同樣在《利用生成式Fuzz挖掘ChromePDFium漏洞》的主題演講中，基于ChromePDFium漏洞的挖掘，詳細介紹了生成式Fuzz的具體實現及相關效果。作為chrome瀏覽器中使用的PDF插件，PDFium是一個被廣泛使用的開源PDF工具。該工具遵循AdobePDF的標準，可以通過嵌入JS的方式來在PDF中實現復雜的功能，但這也引入了許多安全漏洞。姜偉鵬在演講中介紹的生成式Fuzz，是基于開源工具afl_domato實現，已經在PDFium中發現了9個UAF漏洞和一些空指針使用問題。

360漏洞研究院安全研究員姜偉鵬

除此之外，針對諸多安全漏洞的熱點話題，眾多參會的演講嘉賓也帶來了精彩的內容分享。螞蟻安全非攻實驗室負責人歐陽瑜基于今年爆發的Spring遠程代碼執行漏洞，以《Spring4Shell背后的的開源軟件供應鏈安全思考和實踐》為題，從漏洞的整體概述、實際影響、防御策略，以及基于該漏洞背后的開源軟件供應鏈安全保障思考四個方面揭示了該漏洞背后的核心本質，并指出開源軟件供應鏈安全是一個行業廣泛關注的話題，也是難題，需要全社會上下游力量的共同參與和努力。

螞蟻安全非攻實驗室負責人歐陽瑜

隨著5G的出現，家用IOT設備數量持續增長，其所引發的安全問題也日益凸顯。360漏洞研究院安全研究員蘇熙杰、賀乾真與梁翔軒則針對NAS設備面臨的漏洞威脅問題，帶來了題為《云中探秘NAS漏洞探索之旅》的主題演講，深度剖析了NAS設備的攻擊面尋找、攻擊思路、設備RCE利用鏈等研究過程。

360漏洞研究院安全研究員賀乾真

360漏洞研究院安全研究員蘇熙杰

而OPPO高級攻防安全工程師陳武在題為《淺談Android安全審計&高效漏洞挖掘技術》的分享中，則通過回顧和分析常見的AOSPnative相關漏洞，基于其挖掘的原生漏洞進行實戰講解，總結出了一些AOSP漏洞挖掘中常見的套路和方法，并對基于CodeQL和人工代碼審計在AOSP上漏洞挖掘的方向和潛力作出展望。

OPPO高級攻防安全工程師陳武

論壇的最后，中科院軟件所副研究員和亮、螞蟻安全非攻實驗室負責人歐陽瑜、OPPO高級攻防安全工程師陳武，以及360漏洞研究院安全研究員賀乾真與姜偉鵬共同圍繞《數字時代的漏洞威脅應對之道》展開圓桌探討，幾位業內權威專家以打造更加安全的防護體系為目標，提出了諸多建設性的參考意見。

伴隨數字化技術的不斷演進，漏洞已經上升到國家安全戰略資源的新高度，其所帶來的威脅將直接影響到國家安全、社會安全、城市安全、關鍵基礎設施安全等。本次ISC2022漏洞與防護前瞻研究論壇的成功召開，將進一步推動數字安全的高質量發展，為全球數字空間構建出互利共贏的安全新生態。