今日，2015中国互联网安全大会（ISC）在北京国家会议中心举办。作为亚太地区规模最大、规格最高的网络安全盛会，中国互联网安全大会也被誉为“亚洲的RSA”。据悉，本次大会设立12个分论坛，在其中的“漏洞挖掘与源代码安全论坛”上，X-Focus安全点焦点成员魏强（ID:funnywei），针对X-Frame软件漏洞进行了分析及成果演示。

图1：2015ISC“漏洞挖掘与源代码安全论坛”魏强演讲

据悉，本次漏洞挖掘与源代码安全论坛以“探索攻防新知”为主题，涉及议题包括构建软件漏洞分析基础设施，操作系统漏洞研究，浏览器攻防战等。并且针对“探索攻防新知”这一当下安全领域的最热话题，邀请了业界最具权威的安全技术专家进行现场解析。

本次分论坛的第一个主题为“X-Frame, 构建软件漏洞分析基础设施”，由X-Focus安全点焦点成员魏强，从软件测试角度出发，针对精细化、规模化、逻辑化、可视化的问题，构建基于探索、分析、定位的工作流水线。重点提供路径分析及探索能力，并给出相应的分析算法和相关成果演示。

图2：漏洞挖掘与源代码安全论坛现场爆满

     据介绍，魏强是X-Focus安全点焦点成员，并任职解放军信息工程大学副教授，硕士生导师，博导梯队成员。主要从事软件漏洞分析、工业控制系统安全、软件定义网安全等方向的研究。致力于符号执行技术、模糊测试技术、大规模分布式并行软件测试技术的研究。

魏强在现场表示，新时代的漏洞思路已有所改变，传统的挖掘漏洞办法正变得不再适用。期间，魏强还详细介绍了整型溢出、Use-After-Free等漏洞的成因与挖掘思路。“与其发现一个漏洞、挖掘一个漏洞，我们不如去构建一个漏洞，用这种新思路来寻找漏洞”，魏强如是表示。

想构建漏洞，就要找到软件的突破口。针对软件的脆弱性，魏强解释了现状所面临的四维困境，并详细介绍了本次主题——X-Frame分析系统：“该系统以数据化评估、非确定性引入、层次化模型、增量式测试支持作为核心思想，经过勘查探索、监测捕获、错误定位、影响分析等等流程，来实现漏洞的精准发现。”

在演讲尾声，魏强以Two-Level分析及污点分析为例，详细介绍了“X-Frame”在实战中的使用策略。

除了“漏洞挖掘与源代码安全论坛”中的精彩演讲，本届ISC整体规模也更胜往年。此次大会不仅吸引了2.5万人现场参与，还有美国首任网军司令、四星上将基思•亚历山大，中国国际战略学会高级顾问郝叶力，中国现代国际关系研究院张力，Garnter研究副总裁Jay Heise，360公司董事长兼CEO周鸿祎等重量级嘉宾出席演讲。