Win7+JRE7。就在日前举办的中国互联网安全大会上，Java漏洞也被与会专家称为“烦”。

　　图：趋势科技安全专家古河发表

　　古河在登场后就开明义，今天不会讲如何挖掘Java原生层漏洞，而是讲如何“料理” 它们。何为原生层漏洞?古河解释称，存在于Java原生层代码中的漏洞就是所谓的原生漏洞，同时也被称为Java内存漏洞。他认为，虽然在JRE7加强了安全设置，但利用原生漏洞也并不常棘手。

　　在过程中，古河介绍了三种Java原生层漏洞的Exploit方法，都可以攻破已经强化的JRE7，但在实际操作的时候，还是需要选择适合你的漏洞特性的方式：如果是32位系统，并且能够控制EIP，那就可以用JIT Spray;如果可以覆盖Java对象堆中的内容，可以考虑Array + Statement;如果使用者是Vupen的人，那就用Information Leak + ROP。总之就是要因地制宜，选择最适合自己的方法。

　　SyScan360是由SyScan前瞻信息安全技术年会主办，中国第一大互联网安全公司360承办的国际安全技术峰会。作为中国互联网安全大会的组成部分，本次大会吸引到了全球各地的安全专家出席并。在大会进行期间，SyScan360会议组织者还精心推出“黑客破解挑战赛”，为快速成功破解电子胸卡的黑客高手颁发品。