山石携工控漏洞挖掘实践议题亮相看雪第七届安全开发者峰会

山石网科安全技术研究院 2023-10-26 10:30

看雪安全开发者峰会（Security Development Conference，简称SDC）由拥有23年悠久历史的顶尖安全技术综合网站——看雪主办，面向开发者、安全人员及高端技术从业人员，是国内开发者与安全人才的年度盛事。自2017年七月份开始举办第一届峰会以来，SDC始终秉持“技术与干货”的原则，致力于建立一个多领域、多维度的高端安全交流平台，推动互联网安全行业的快速成长。

看雪·第七届安全开发者峰会（2023 SDC）于10月23日在上海举办！本届峰会以“安全开发·数智未来”为主题，聚焦最前沿的网络安全技术和应用，共谋行业新发展。与安全大牛零距离交流切磋，结识各路安全精
英。山石网科安全技术研究院的刘洋，作为演讲嘉宾，出席本次大会 。

“ 

刘洋——山石网科安研院研究员，长期致力于工业控制系统漏洞挖掘，研究方向为移动安全、工控安全、逆向分析。具有多年攻防竞赛参赛与命题经验，挖掘过多个工业控制系统漏洞，拥有多场攻防竞赛出题经验（逆向工程、移动安全、工控安全方向）、拥有丰富的企业，院校及个人网络攻防培训经验。

”

山石安研院本次分享议题为工控安全漏洞挖掘之路面临万重“山”：缺乏相关设备，无工控实践环境，研究者知识储备不足等。面对这些问题，议题分享者结合过去的工业控制系统的漏洞挖掘思路，以及自身在做工业控制系统漏洞挖掘的过程中的挖掘经验，
分享了工业控制系统漏洞挖掘的探索方式，包括协议通信分析、流量抓包伪造、攻击脚本编写、
工控软件逆向、工控 app 逆向分析、模拟仿真、fuzz 测试等。
以及最终有效获取漏洞，并获得漏洞编号的方式进行阐述，同时对工控软件漏洞挖掘的基本思路和方法进行
描述，并从工控软件采购，模拟仿真，工控梯形图的分析，逆向分析，以及工控流量分析、工控安全人才培养以及安全体系建设等角度讨论了工控安全问题。

会后，讲者刘洋获得SDC组委会颁发的优秀讲师证书。