支付宝安全团队受邀赴美参会，安全攻防技术入选BlackHat

美国当地时间8月8日，全球信息安全行业的两大世界顶级盛会Black Hat和DEFCON在美国拉斯维加斯将正式开幕，来自全球的数万名白帽黑客、安全厂商、高校学者、甚至政府部门等安全从业人员齐聚，高度关注这一前沿技术饕餮盛宴。



其中，在BlackHat USA Arsenal军械库展上，蚂蚁金服光年安全实验室安全工程师周宇、高级安全专家曲和及来自默安的王伟，演示的针对VxWorks系统的高级模糊测试框架ChangWei，引起高度关注。据介绍，利用该框架可高效地发现系统本身和开发者代码中的潜在漏洞，目前入选工具篇：《ChangWei:A Modern Fuzzing Framework for VxWorks System》。



VxWorks系统以其良好的可靠性和卓越的实时性被广泛应用在工控物联网领域，如卫星通讯、军事演习、弹道制导、飞机导航等，安全的重要性不言而喻。然而，目前针对VxWorks系统的Fuzzing方法还停留在传统的黑盒阶段。针对这一业界痛点，蚂蚁金服光年安全实验室团队创新性地将基于反馈的Fuzzing技术应用到VxWorks系统上，设计出ChangWei框架，利用该框架可以高效地发现系统本身和开发者代码中的潜在漏洞。
另外，蚂蚁金服光年安全实验室的高级安全工程师周智和来自长亭的安全工程师张一峰在DEFCON USA DemoLab（演示实验室）展示开源工具议题《Passionfruit: an iOS app blackbox assessment tool》。iOS 和 Android 是目前最流行的两大移动智能操作系统。相比后者，iOS 的应用安全问题较少受到关注，工具也相对匮乏。



而Passionfruit ，是一款专门为 iOS 平台应用做安全测试和动态分析的工具，提供跨平台的图形界面，快速完成 iOS 应用安全测试中常见的需求，包括信息收集、URL 测试、存储信息分析、截图、动态插桩等任务。通过Passionfruit工具，可以帮助开发者和安全研究人员方便快捷地对 iOS 应用暴露的攻击面进行测试分析，更快速定位隐患，提升 iOS 应用的安全性。
蚂蚁金服光年安全实验室有着丰富的黑灰产抗击经验和行业内顶尖的攻防技术能力，除致力于护航支付宝及蚂蚁金服的相关产品安全，同时也通过前沿的安全技术的分享来赋能外部合作商户、厂商以及生态伙伴的安全。目前核心安全能力领域包括移动端浏览器的漏洞挖掘与利用、移动操作系统漏洞攻防研究、移动端应用供应链体系的漏洞攻防研究、生物识别安全以及IoT安全等。