9月24日，SyScan360大会在国家会议中心召开。来自趋势科技的知名安全专家古河出席大会，并带来了名为《1分钟用Java原生层漏洞搞定Win7+JRE7》的主题演讲。作为资深动漫宅，古河演示利用Java原生深层漏洞攻破Win7+JRE7。就在日前举办的中国互联网安全大会上，Java漏洞也被与会专家称为“大麻烦”。

图:趋势科技安全专家古河发表演讲

古河在登场后就开宗明义，今天不会讲如何挖掘Java原生层漏洞，而是讲如何“料理” 它们。何为原生层漏洞？古河解释称，存在于Java原生层代码中的漏洞就是所谓的原生漏洞，同时也被称为Java内存破坏漏洞。他认为，虽然在JRE7加强了安全设置，但利用原生漏洞也并不是非常棘手。

在演讲过程中，古河介绍了三种Java原生层漏洞的Exploit方法，都可以攻破已经强化的JRE7，但在实际操作的时候，还是需要选择适合你的漏洞特性的方式:如果是32位系统，并且能够控制EIP，那就可以用JIT Spray；如果可以覆盖Java对象堆中的内容，可以考虑Array + Statement；如果使用者是Vupen的人，那就用Information Leak + ROP。总之就是要因地制宜，选择最适合自己的方法。

SyScan360是由SyScan前瞻信息安全技术年会主办，中国第一大互联网安全公司360承办的国际顶级安全技术峰会。作为中国互联网安全大会的组成部分，本次大会吸引到了全球各地的安全专家出席并演讲。在大会进行期间，SyScan360会议组织者还精心推出“黑客破解挑战赛”，为快速成功破解电子胸卡的黑客高手颁发奖品。