在9月30日上午的“漏洞挖掘与源代码安全”分论坛环节,解放军信息工程大学副教授,硕士导师,Xfocus安全点焦点成员魏强、杭州安恒信息技术有限公司安全服务总监袁明坤、“360代码卫士” 开源项目检测计划负责人韩建、美国西北大学电子工程与计算机科学系教授,互联网安全技术实验室主任陈焰、看雪论坛漏洞版块版主,高级安全工程师仙果、清华大学教授段海新共六位互联网安全专家,就X-Frame-构建软件漏洞分析基础设施、构建敏捷开发环境下的安全开发体系、开源代码安全之痛、通过移动App-Web接口来检测隐藏攻击、Web应用中Cookie的完整性问题和威胁等七个话题进行了现场解析。本次分论坛由看雪学院创始人段刚主持。
解放军信息工程大学副教授,硕士导师,Xfocus安全点焦点成员魏强此次演讲的主题是“X-Frame,构建软件漏洞测试基础框架”。魏强从背景和问题分析、X-Frame基础框架和Demo三个方面进行了进行了分享。他表示随着技术的不断发展,漏洞思路已经发生了变化。他谈到了漏洞研究方面三个重要的特点:从内存战争走向场景时代,从模糊测试走向逻辑分析,从简单触发到复杂关联影响分析。通过IE漏洞检测和分析的实例,魏强总结到:与其发现一个漏洞、挖掘一个漏洞,我们不如去构建一个漏洞,用这种新思路来寻找漏洞。在谈到X-Frame基础框架时,魏强介绍了X-Frame的目标、核心思想以及其组成与应用。并表示:该框架以数据化评估、非确定性引入、层次化模型、增量式测试支持为核心思想,提供完整的勘查探索、监测捕获、错误定位、影响分析技术流程,来实现软件漏洞的测试与评估。最后,魏强以crash分析的Two-Level分析为例,详细介绍了“X-Frame”在实战中的使用策略,并表示后期将开放网站来分享相关的Demo和示例。
杭州安恒信息技术有限公司安全服务总监袁明坤发表了题为“构建敏捷开发环境下的安全开发体系”的演讲。袁明坤从软件开发安全体系、敏捷开发安全体系思路、整体安全保障方案三个方面进行了展开。首先介绍了关于SDL的问题,他指出在传统的SDL安全开发模式中存在大量问题。进而引出了在敏捷环境下我们可以做的事情,包括敏捷中的SDL、敏捷中的需求和设计等,并详细的分享了敏捷开发安全体系思路,包括静态代码分析的缓冲区溢出检查、可落地的安全编码手册、威胁建模完成等等。
随后袁明坤还具体分析了当前日益重要的渗透测试和深度安全测试思路模型。最后总结到敏捷的全景化对抗其实不易,却也没有那么难,最简单,最有效的办法是类似于ESAPI。关于安全的培训,他认为所有的安全测试流程要和实际的企业需求相结合。在演讲结束时,袁明坤还与在场的开发人员分享了进行安全测试的经验以此勉励大家。
“360代码卫士” 开源项目检测计划负责人 韩建
来自“360代码卫士团队”开源项目的韩建带来的主题是“开源代码安全之痛”,并指出了开源代码的缺陷及其解决方案。他从以下三个方面进行了详细的论述:
1、开源软件安全事件带来的思考;
2、开源项目检测计划和实例分析;
3、软件代码安全解决之道。
韩建首先列举了一系列开源软件安全事件,如OpenSSL重大安全漏洞Heartbleed,攻击者通过构造异常的数据包进行攻击,获取用户敏感信息。同时他也提醒广大开发人员要对开源软件有自己的思考。紧接着,他介绍了360代码卫士团队发起的开源项目检测计划,该计划针对开源项目进行的一项公益安全检测计划,旨在让广大开发者关注和了解开源代码安全问题,提高软件安全开发意识和技能。目前已检测1010个Java开源项目,检测代码总量65,800,663行,总计发现1,646,035个源代码缺陷,缺陷密度25.02个/千行。此外,韩建现场展示了近年来“开源项目计划”的监测成果,包括十大Java严重缺陷统计、20个流行项目缺陷总数统计、缺陷数量Top10项目、缺陷密度Top10项目等等。并对某开源论坛项目XSS漏洞、某开源论坛项目SQL注入漏洞等漏洞进行了实例分析。最后在软件代码安全解决之道上,韩建表示:对已知漏洞的和知识产权进行溯源检测、采用国际标准和企业规范的的合规检测、对源代码缺陷和可执行代码进行安全检测。进而建立一个由目标管理到自动化周期检测再到差距分析最后进行持续改进的统一代码质量检测中心。
美国西北大学电子工程与计算机科学系教授,互联网安全技术实验室主任 陈焰
美国西北大学电子工程与计算机科学系教授,互联网安全技术实验室主任陈焰带来的分享是“通过移动App-Web接口来检测隐藏攻击”。陈焰介绍到这种通过移动终端App-Web接口的攻击目前被大量已有检测工具所忽视。例如当前较为流行的一种恶意攻击模式:在手机应用程序中嵌入恶意网络链接,虽然程序本身是良性的,但恶意链接却也是由程序所携带。陈焰从移动广告背景、系统设计、结果检测、案例研究四个方面进行了分享。他指出,随着互联网向移动端倾斜,移动安全越来越重要。智能移动终端作为我们日常生活中离不开的通讯工具,个人信息的移动载体,时刻监测其是否遭到攻击十分必要。而通过App-Web接口来监测、检测隐藏攻击,再针对攻击设计有效的防护方式,是一种对全新攻防技术的探索。利用App-Web接口,通过数据传输时的数据异常,来识别恶意行为根源所在。在演讲最后,他提到最近与国家响应中心的合作项目,收集和规范移动广告市场这些恶意广告。并且我们建立一个的7天x24小时不断做动态监控检测恶意广告系统。
看雪论坛漏洞版块版主,高级安全工程师仙果演讲主题是“浏览器漏洞攻防对抗的艺术”。仙果从IE浏览器介绍了浏览器漏洞攻防,浏览器作为用户接入互联网的门户,针对浏览器参与攻防的主要有浏览器厂商、操作系统厂商、安全厂商和实施攻击的APT组织等等。紧接着他又以时间线为基准,详细阐述了2008年以前—2015年,针对整个浏览器的攻击和防御技术走向。针对浏览器的防护手段,仙果介绍到栈Cookie、SEHOP、EAF、沙盒、DEP、杀毒软件防护、EMP、隔离堆、ASLR等等技术。之后仙果介绍了浏览器攻防艺术的原始积累——野蛮生长,谈到了从最初IE6、7的缓冲区溢出漏洞,到后来被大肆利用的java漏洞;从Windows XP敏感的函数单字节溢出漏洞,到Win 7内存破坏漏洞的爆发…厂商无休止的修复、更新系统,攻击者反复从新系统中找到可以利用的漏洞,周而复始,漏洞与浏览器的相爱相杀至今仍未终止。演讲最后,他打趣道:“IE已死”。然而新的浏览器不断涌现,针对浏览器的漏洞攻防还会继续存在下去,就让我们拭目以待,新的技术向哪里发展。
清华大学教授 段海新
作为本场论坛的压轴演讲,清华大学段海新教授登台开始进行“Web应用中Cookie的完整性问题和威胁”的分享。段海新谈到由于Cookie完整性的缺乏,在网站和浏览器中会将造成很多损失,如劫持网上银行向购物网站的支付等等。Cookie是最早Netscape这个公司在1996年它的浏览器里使用的。Cookie在HTTP协议中用于状态管理,对Web有着难以替代的重要性。浏览器允许同名Cookie,不区分协议。段海新补充到即使Cookie设置为一个更具体的领域,它仍然可以在相关领域被攻击者跟踪。当多个同名的Cookie同时传递过去,绝大多数语言的库和Web开发框架只是取第一个Cookie的值。谈到工作目标和贡献,段海新从三点进行了解释:
1、在真实网络中,Cookie注入攻击是通过主动攻击者如中间人或者共享域名的Web攻击者所实施。
2、Cookie注入会造成包括支付的劫持、银行帐号的劫持等问题。例如Google历史搜索的信息导致的个人隐私泄露,和Cookie结合在一起影响就更大。同样的很多Web应用把Cookie页面直接下载到浏览器里,例如亚马逊,虽然它弹出JavaScript代码,这做得还不是很完善。
3、如何解决这个问题又不影响现有应用?最根本的问题,Cookie里同源策略里充分隔离,HTTP和HTTPS里同源不是干净的,还有通过不安全的信道过来Cookie也应相互隔离的。
在演讲最后,段教授为开发者讲解了防范措施,并表态:“我们会与工业界一起探讨解决方案,以摆脱困惑的安全现状”。
编辑:李子健