清華新聞網(wǎng)11月17日電 11月14日至18日��,第30屆國(guó)際計(jì)算機(jī)學(xué)會(huì)(Association for Computing Machinery��,簡(jiǎn)稱(chēng)ACM)軟件工程基礎(chǔ)國(guó)際會(huì)議(The ACM SIGSOFT Joint European Software Engineering Conference and Symposium on the Foundations of Software Engineering, 簡(jiǎn)稱(chēng)ESEC/FSE)在新加坡召開(kāi)��。清華大學(xué)軟件學(xué)院姜宇副教授課題組的論文“基于動(dòng)態(tài)寫(xiě)讀關(guān)系分析的瀏覽器API測(cè)試”(Minerva: Browser API Fuzzing with Dynamic Mod-Ref Analysis)獲得杰出論文獎(jiǎng)(Distinguished Paper Award)��。
獲獎(jiǎng)證書(shū)
瀏覽器安全性是被廣泛關(guān)注的問(wèn)題��。瀏覽器暴露大量的內(nèi)置API來(lái)讓web應(yīng)用訪(fǎng)問(wèn)和修改瀏覽器的內(nèi)部狀態(tài)��。已有的瀏覽器模糊測(cè)試工具通過(guò)生成包含大量的API調(diào)用的測(cè)試用例來(lái)挖掘?yàn)g覽器的安全漏洞��,然而大量的API組合構(gòu)成的搜索空間使得已有模糊測(cè)試工具難以探索深層的API交互邏輯��,極大地影響了挖掘漏洞的效率��。獲獎(jiǎng)?wù)撐膭?chuàng)新地提出了利用API后端處理邏輯間的內(nèi)存“修改-引用”關(guān)系��,來(lái)找到API間的隱式干涉關(guān)系��,進(jìn)而引導(dǎo)高效的瀏覽器輸入生成��。該方法目前已在三個(gè)主流瀏覽器(Chromium��,Safari��,F(xiàn)ireFox)上找到35個(gè)漏洞��,其中5個(gè)由于安全嚴(yán)重性被分配了CVE號(hào)且獲得了瀏覽器開(kāi)發(fā)商的認(rèn)可和致謝��。
獲獎(jiǎng)研究成果示意圖
ESEC/FSE是軟件工程領(lǐng)域頂尖學(xué)術(shù)會(huì)議��,該會(huì)議每年匯集了來(lái)自學(xué)術(shù)界和工業(yè)界的研究人員和從業(yè)人員��,重點(diǎn)關(guān)注軟件工程各個(gè)領(lǐng)域的實(shí)際應(yīng)用��。該會(huì)議是CCF推薦A類(lèi)會(huì)議��,也是清華大學(xué)計(jì)算機(jī)學(xué)科推薦A類(lèi)會(huì)議��。2022年共接收99篇論文��,接收率22%��。在接收論文中��,7篇論文獲得ACM SIGSOFT杰出論文獎(jiǎng)��。
供稿:軟件學(xué)院
編輯:李華山
審核:郭玲
