2015中国互联网安全大会（ISC）火热进行，在9月30日举行的“漏洞挖掘与源代码安全论坛”上，除了funnywei、仙果等知名黑客和安全业界精英以外，学院派技术专家也现身会场，来自美国西北大学的陈焰教授、清华大学段海新教授分别登台演讲，中美两大名校名师的精彩分享让现场观众大呼过瘾。

段海新教授就职于清华大学网络科学与网络空间研究院，身兼网络和信息安全研究室主任，加州大学伯克利访问学者等数职。主要研究网络基础设施（域名、路由、公钥基础设施）安全、Web安全、网络协议安全性分析、入侵检测、网络测量、匿名通信等方向。

在ISC2015漏洞挖掘与源代码安全论坛的演讲环节上，段海新教授就“web应用中cookie的完整性问题和威胁”进行了详细的讲解与演示。

图1：段海新教授在ISC2015漏洞挖掘论坛的技术分享

Cookie（存储于web的数据）在HTTP协议中用于状态管理，对Web有着难以替代的重要性。但段教授表示，现有协议和浏览器中，对Cookie的完整性缺乏有效保护，有可能带来在线账号劫持、隐私泄露、支付劫持等直接财务损失。

“即使cookie设置有一个很具体的领域，但它仍然可以被相关的域名攻击。”段教授在现场讲解了黑客的“中间人”入侵方式：在开放的无线网络内，中间人将一个有针对性的未加密请求发送给浏览器控件，然后便能将假子域注入cookies。

图2：Cookie威胁影响大量网站和浏览器

段教授还在演讲中提及，世界上许多重要的网站（包括Google、 Bank of America、 Amazon等）都存在Cookie注入攻击的风险；同时由于许多主流浏览器也存在一些漏洞，导致该类威胁被加剧、放大。

“我们发现了一些与大型网站造成严重后果的攻击，如付款/存款劫持、帐户劫持、窃取历史数据等等”，段教授表示了自己对Web风险的担忧，“过往的案例告诉我们，大多Web开发人员没有意识到cookie安全性的问题。”

在演讲最后，段教授为开发者讲解了防范措施，并表态：“我们会与工业界一起探讨解决方案，以摆脱困惑的安全现状”。作为本场论坛的压轴演讲，段教授的精彩议题吸引了众多现场观众，很多观众由于没有座位只能站着听讲，直到午餐时间仍停留在会场吸取技术干货。

图3:午餐时间依然热闹的漏洞挖掘与源代码论坛

“未知攻，焉知防”，攻与防的对立，促进了信息安全的发展和繁荣。此次2015中国互联网安全大会（ISC）暨中国互联网安全领袖峰会与漏洞挖掘与源代码安全论坛创建的目的，也正是希望安全团队能够“从黑客的角度考虑问题，用白客的思维解决问题”。

中国互联网安全大会创办于2013年，是由中国互联网协会、360互联网安全中心共同主办的亚太地区信息安全领域规模最大的年度安全会议，会议聚焦国家网络空间安全、信息安全产业发展、云安全、物联网安全、移动安全、数据安全、新兴威胁、漏洞挖掘、电子取证等热门技术与行业话题。

除了专家们的精彩演讲，2015互联网安全大会还拥有安全培训、展览、攻防赛、商业交流等多种形式，旨在为企业及开发者创造更多交流与学习的机会。