漏洞挖掘論壇開講 滿足你對挖洞的全部求知慾

2018年11月16日至17日，由360公司、百度、騰訊、阿里巴巴、清華大學與中科院等多家企業和研究機構在成都聯合主辦了首屆「天府杯」國際網路安全大賽暨2018天府國際網路安全高峰論壇。大賽期間，除開展了「天府杯」國際破解大賽外，還舉辦了多個大咖雲集的網路安全論壇。

作為我國最大的網路安全公司，360在此次活動中還主辦了「漏洞挖掘論壇」，旨在與安全從業者們共同探討關於漏洞挖掘的現狀與發展。在漏洞挖掘方面，360旗下不僅有號稱「漏洞挖掘機」的安全團隊，還有具備強悍智能學習與分析、漏洞挖掘等功能的分散式智能安全系統「360安全大腦」。據悉，360在2017年發現漏洞總數達到519個，是全球挖掘漏洞最多的安全廠商。

在漏洞挖掘論壇上，許多來自企業和研究機構的網路安全負責人從各個角度進行了專業的分享與討論。

360代碼安全實驗室高級安全研究員柳本金在現場分享了《基於開源工具的模糊測試技術與應用實例》。他在演講中指出，要充分理解漏洞的基礎上才能把漏洞修復好，才會開發好補丁程序，否則會適得其反；並建議廠商提供補丁修復建議獎勵，提高補丁開發的質量和效率。

360安全專家李建旺針對PHP反序列做了深入報告，介紹並分享了所在團隊對WEB安全相關研究和在攻防領域從前端到後端，從腳本到系統，從開發到滲透，所積累的多年經驗。

騰訊安全研究員秦書鍇則發表了題為《智能家居新型攻擊面研究》的演講，他認為在未來的智能家居中，新的攻擊面不僅會一直存在，還將產生新的漏洞並讓不嚴重的漏洞嚴重起來。

阿里巴巴安全專家鄭旻講解的《XNU內核對象永恆之戰》，則以「常被越獄的蘋果」為例，詳細介紹了XNU內核對象保護的相關內容，引發了現場的熱烈討論。

成都商用密碼技術研究院院長吳震帶來的議題是《密碼實現的物理攻擊》。在許多人印象中，常常存在著「密碼演算法安全=密碼實現安全」的刻板印象，其實事實可能並沒有這麼簡單，吳震從密碼演算法、現實、安全和針對密碼現實的攻擊實例與被動攻擊等方面，對密碼實現的物理攻擊做了全面分析，並指出了一些關於密碼安全性的探索方向。

清華大學網路研究院副教授、「國家青年千人」張超發表了《自動化漏洞利用探索》的演講，他針對自動化漏洞的研究背景與原因、當前進展與未來發展方向做出了詳細的介紹，其中還深入淺出地講解了許多實際案例，可謂乾貨滿滿。

來自北京大學信息安全實驗室區塊鏈安全研究團隊的負責人高健博帶來了關於《智能合約安全漏洞的自動化挖掘方法》的分享，自動化漏洞挖掘方法將提高智能合約的漏洞發現與修復的效率，提高智能合約的安全性。

我們已經進入大安全時代，網路安全不僅僅是電腦安全，還涉及到國家安全、社會安全、民生安全和我們個人的人身安全。而系統永遠不可能完美，總會有漏洞存在，這就需要安全人員與那些利用漏洞進行非法牟利的不法分子進行博弈。

在未來，「漏洞」將是最具威脅的網路武器之一，如何做好網路安全中的漏洞挖掘工作，如何全方位保障網路安全，還需要更多如「天府杯」這樣為各大廠商、企業以及眾多研究人員提供交流與探討的平台，只有各方協同聯動，才能建設更完善的安全體系。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！