CSS 2019騰訊安全探索論壇（TSec）“突破獎(jiǎng)”出爐：揭秘新型Windows內(nèi)核漏洞

7月31日，第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(簡(jiǎn)稱CSS 2019)騰訊安全探索論壇(TSec)在京舉辦，八組演講嘉賓接連登場(chǎng)，就時(shí)下熱門的研究領(lǐng)域帶來(lái)前沿技術(shù)分享。經(jīng)過(guò)現(xiàn)場(chǎng)大眾評(píng)委評(píng)審以及組委會(huì)的核對(duì)，本屆TSec獲獎(jiǎng)議題正式揭曉。綠盟科技天機(jī)實(shí)驗(yàn)室負(fù)責(zé)人張?jiān)坪{借《Sorry, It is Not Your Page》議題摘取“突破獎(jiǎng)”。在議題中，張?jiān)坪Ｊ锥冉颐亓艘环N新型Windows內(nèi)核漏洞——物理頁(yè)面混淆(PPC)，詳細(xì)剖析其技術(shù)原理、攻擊模型以及具體防御措施，充分展示了信息安全研究者在Windows安全防護(hù)上的深入研究。

本屆TSec以“前沿科技，尖端對(duì)抗”為主題，吸引來(lái)自數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室、清華大學(xué)、解放軍信息工程大學(xué)、綠盟科技等產(chǎn)學(xué)研精英，針對(duì)產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的信息安全發(fā)展需求，聯(lián)袂首發(fā)信息安全重磅前沿議題，分享時(shí)下前沿安全技術(shù)與課題研究成果。

　　(圖：TSec騰訊安全探索論壇現(xiàn)場(chǎng))

聚焦漏洞挖掘與源代碼安全 獲獎(jiǎng)議題揭示多平臺(tái)漏洞奧秘

本屆TSec采用觀眾評(píng)委現(xiàn)場(chǎng)投票評(píng)選的方式?，F(xiàn)場(chǎng)大眾評(píng)委根據(jù)演講人的演講風(fēng)格、PPT呈現(xiàn)、專業(yè)性、創(chuàng)新性、技術(shù)難度、研究?jī)r(jià)值、社會(huì)價(jià)值、觀眾收獲等七個(gè)維度評(píng)議，最后匯總所有維度平均分得出最終得分，共同參與并見(jiàn)證重磅議題的誕生。

作為本屆TSec“突破獎(jiǎng)”的獲得者，張?jiān)坪５淖h題在各個(gè)維度上的表現(xiàn)征服了現(xiàn)場(chǎng)觀眾評(píng)委?；赪indows 操作系統(tǒng)使用分頁(yè)機(jī)制來(lái)管理內(nèi)存的原理，他首度揭秘新型Windows內(nèi)核漏洞——物理頁(yè)面混淆(PPC)背后的技術(shù)原理以及深遠(yuǎn)影響，讓現(xiàn)場(chǎng)觀眾對(duì)該漏洞有了清晰認(rèn)識(shí)。此次能夠摘取本屆TSec的“突破獎(jiǎng)”，與他從業(yè)十五年來(lái)的深厚沉淀不無(wú)關(guān)系。在此之前，張?jiān)坪Ｔ群蟮巧螧lack Hat、Blue Hat、DEF CON等世界頂尖信息安全舞臺(tái)發(fā)表主題演講，還連續(xù)5年獲得微軟 Mitigation Bypass Bounty 獎(jiǎng)勵(lì)。

來(lái)自數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室甘水滔與清華大學(xué)張超、Knownsec 404 Team郭垠圻、以及來(lái)自解放軍信息工程大學(xué)麻榮寬和魏強(qiáng)與浙江大學(xué)程鵬三位安全專家合作的議題獲得“專業(yè)獎(jiǎng)”。他們不僅通過(guò)全新視角探討模糊測(cè)試方案、Mysql客戶端、工業(yè)控制器等相關(guān)安全問(wèn)題，而且還從核心技術(shù)剖析提供全面系統(tǒng)的應(yīng)對(duì)解決方案，為信息安全建設(shè)提供助力。

獲得“技術(shù)獎(jiǎng)”的四個(gè)議題，則將目光鎖定在源代碼審計(jì)和漏洞挖掘領(lǐng)域。萬(wàn)物互聯(lián)時(shí)代，漏洞是網(wǎng)絡(luò)攻防的關(guān)鍵所在，對(duì)夯實(shí)網(wǎng)絡(luò)空間防護(hù)意義重大。Tencent Blade Team高級(jí)安全研究員錢文祥和李宇翔、長(zhǎng)亭科技黎榮熙、獨(dú)立安全研究員王偉波、上海交通大學(xué)王健強(qiáng)分別針對(duì)如何深挖潛伏在解析器規(guī)則中的安全風(fēng)險(xiǎn)?、如何利用靜態(tài)分析對(duì)基于Git的版本控制服務(wù)進(jìn)行漏洞挖掘?、如何批量化挖掘macOS/iOS內(nèi)核信息泄露?、如何利用自然語(yǔ)言理解技術(shù)發(fā)現(xiàn)內(nèi)存破壞漏洞?給出了詳細(xì)的剖析，為互聯(lián)網(wǎng)安全發(fā)展提供了有效的解決思路和方法。

值得關(guān)注的是，以上亮相TSec舞臺(tái)的前沿議題屬全球首發(fā)，聚焦漏洞挖掘與源代碼安全、首度揭秘多種漏洞細(xì)節(jié)，對(duì)信息安全工作者有著重要理論價(jià)值和實(shí)踐意義，為全球信息安全的發(fā)展，提供學(xué)術(shù)和技術(shù)創(chuàng)新支持。

持續(xù)構(gòu)建高質(zhì)量信息技術(shù)交流平臺(tái)護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展

當(dāng)前，企業(yè)數(shù)字化轉(zhuǎn)型驅(qū)動(dòng)安全產(chǎn)業(yè)機(jī)遇同時(shí)，也將帶來(lái)更為嚴(yán)峻的安全挑戰(zhàn)。產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代安全威脅的突發(fā)性更強(qiáng)、破壞性更大，一旦遭遇網(wǎng)絡(luò)攻擊，可能造成極大的社會(huì)影響和經(jīng)濟(jì)損失，這樣更加凸顯共享前沿技術(shù)成果的必要性。作為 CSS 2019特色技術(shù)論壇，本屆TSec現(xiàn)場(chǎng)邀請(qǐng)頂尖安全專家論道前沿技術(shù)，共同針對(duì)產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的信息安全發(fā)展需求，謀求信息安全技術(shù)的新機(jī)遇和新思路。值得一提的是，清華大學(xué)張超、上海交大蜚語(yǔ)軟件安全研究小組、綠盟科技張?jiān)坪Ｗ鳛門Sec的老朋友，已連續(xù)幾年登臺(tái)發(fā)表高質(zhì)量前沿議題。

“我們希望以此次峰會(huì)為契機(jī)，更多地參與全球網(wǎng)絡(luò)安全生態(tài)建設(shè)，促進(jìn)產(chǎn)學(xué)研各界形成合力，為加速技術(shù)創(chuàng)新、共享重要技術(shù)成果搭建一個(gè)長(zhǎng)期、持續(xù)的溝通合作平臺(tái)”，秉承這個(gè)初衷和愿景，TSec論壇出品人、騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK教主)希望鼓勵(lì)各界的安全團(tuán)隊(duì)產(chǎn)出真正對(duì)用戶和行業(yè)有價(jià)值的前沿研究。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。