支付寶安全團(tuán)隊(duì)受邀赴美參加頂級(jí)盛會(huì)，安全攻防技術(shù)入選BlackHat&DEFCON

美國(guó)當(dāng)?shù)貢r(shí)間8月8日，全球信息安全行業(yè)的兩大世界頂級(jí)盛會(huì)Black Hat和DEFCON在美國(guó)拉斯維加斯將正式開(kāi)幕，來(lái)自全球的數(shù)萬(wàn)名白帽黑客、安全廠商、高校學(xué)者、甚至政府部門等安全從業(yè)人員齊聚，高度關(guān)注這一前沿技術(shù)饕餮盛宴。

其中，在BlackHat USA Arsenal軍械庫(kù)展上，螞蟻金服光年安全實(shí)驗(yàn)室安全工程師周宇、高級(jí)安全專家曲和及來(lái)自默安的王偉，演示的針對(duì)VxWorks系統(tǒng)的高級(jí)模糊測(cè)試框架ChangWei，引起高度關(guān)注。據(jù)介紹，利用該框架可高效地發(fā)現(xiàn)系統(tǒng)本身和開(kāi)發(fā)者代碼中的潛在漏洞，目前入選工具篇：《ChangWei:A Modern Fuzzing Framework for VxWorks System》。

VxWorks系統(tǒng)以其良好的可靠性和卓越的實(shí)時(shí)性被廣泛應(yīng)用在工控物聯(lián)網(wǎng)領(lǐng)域，如衛(wèi)星通訊、軍事演習(xí)、彈道制導(dǎo)、飛機(jī)導(dǎo)航等，安全的重要性不言而喻。然而，目前針對(duì)VxWorks系統(tǒng)的Fuzzing方法還停留在傳統(tǒng)的黑盒階段。針對(duì)這一業(yè)界痛點(diǎn)，螞蟻金服光年安全實(shí)驗(yàn)室團(tuán)隊(duì)創(chuàng)新性地將基于反饋的Fuzzing技術(shù)應(yīng)用到VxWorks系統(tǒng)上，設(shè)計(jì)出ChangWei框架，利用該框架可以高效地發(fā)現(xiàn)系統(tǒng)本身和開(kāi)發(fā)者代碼中的潛在漏洞。

另外，螞蟻金服光年安全實(shí)驗(yàn)室的高級(jí)安全工程師周智和來(lái)自長(zhǎng)亭的安全工程師張一峰在DEFCON USA DemoLab(演示實(shí)驗(yàn)室)展示開(kāi)源工具議題《Passionfruit: an iOS app blackbox assessment tool》。iOS 和 Android 是目前最流行的兩大移動(dòng)智能操作系統(tǒng)。相比后者，iOS 的應(yīng)用安全問(wèn)題較少受到關(guān)注，工具也相對(duì)匱乏。

而Passionfruit ，是一款專門為 iOS 平臺(tái)應(yīng)用做安全測(cè)試和動(dòng)態(tài)分析的工具，提供跨平臺(tái)的圖形界面，快速完成 iOS 應(yīng)用安全測(cè)試中常見(jiàn)的需求，包括信息收集、URL 測(cè)試、存儲(chǔ)信息分析、截圖、動(dòng)態(tài)插樁等任務(wù)。通過(guò)Passionfruit工具，可以幫助開(kāi)發(fā)者和安全研究人員方便快捷地對(duì) iOS 應(yīng)用暴露的攻擊面進(jìn)行測(cè)試分析，更快速定位隱患，提升 iOS 應(yīng)用的安全性。

螞蟻金服光年安全實(shí)驗(yàn)室有著豐富的黑灰產(chǎn)抗擊經(jīng)驗(yàn)和行業(yè)內(nèi)頂尖的攻防技術(shù)能力，除致力于護(hù)航支付寶及螞蟻金服的相關(guān)產(chǎn)品安全，同時(shí)也通過(guò)前沿的安全技術(shù)的分享來(lái)賦能外部合作商戶、廠商以及生態(tài)伙伴的安全。目前核心安全能力領(lǐng)域包括移動(dòng)端瀏覽器的漏洞挖掘與利用、移動(dòng)操作系統(tǒng)漏洞攻防研究、移動(dòng)端應(yīng)用供應(yīng)鏈體系的漏洞攻防研究、生物識(shí)別安全以及IoT安全等。