【“漏洞挖掘、利用和修复”论坛回顾】张智搏:小程序运行架构中身份混淆安全风险分析
张智搏博士介绍了本篇工作的研究对象—小程序是当下流行的开发生态,其用户量巨大,内容和服务也十分丰富。张博介绍到小程序生态背后离不开的关键技术—基于WebView和JSBridge技术。通过这两个技术,能够做到跨平台开发,同时还能访问各种移动端功能, 增加用户交互体验。 Continue reading
张智搏博士介绍了本篇工作的研究对象—小程序是当下流行的开发生态,其用户量巨大,内容和服务也十分丰富。张博介绍到小程序生态背后离不开的关键技术—基于WebView和JSBridge技术。通过这两个技术,能够做到跨平台开发,同时还能访问各种移动端功能, 增加用户交互体验。 Continue reading
今天分享的论文主题为邮件协议安全,由来自清华大学、华北计算技术研究所、奇安信及Coremail的研究人员共同完成。DomainKeys Identified Mail(DKIM)是一个用于保护电子邮件内容的完整性认证协议。该协议2011年被正式标准化[2],目前已被雅虎、谷歌和其他知名电子邮件服务提供商所采用。由于DKIM协议的特性,对其进行大规模测量是非常困难的。因此,DKIM的现实部署情况及可能存在的安全风险长期缺乏客观而严谨的分析研究。论文首次对DKIM协议的部署情况进行了大规模测量,并深入分析其安全问题。 Continue reading
本文的论文原文“Discovering and Understanding the Security Hazards in the Interactions between IoT Devices,Mobile Apps,and Clouds on Smart Home Platforms”,作者是Wei Zhou,Yan Jia,Yao Yao,Lipeng Zhu,Le Guan,Yuhang Mao,Peng Liu and Yuqing Zhang,来自中国科学院大学国家入侵防范中心,西安电子科技大学,美国佐治亚大学,美国宾夕法尼亚州立大学。 Continue reading
本文根据论文原文“Burglars’IoT Paradise: Understanding and Mitigating Security Risks of General Messaging Protocols on IoT Clouds.”整理撰写,原文发表于IEEE S&P 2020。作者在完成论文原文工作时,为西安电子科技大学在读博士生。本文较原文有所删减,详细内容可参考原文或作者的博士学位论文。 Continue reading
本文作者开发了半自动检测与验证工具VerioT,首次对现有的主流IoT授权机制进行了系统的分析,结果表明这些机制中普遍存在严重的安全漏洞。通过PoC攻击验证和系统性的评估研究,进一步提出了设计安全的跨云IoT授权机制所要遵循的原则。该成果“Shattered Chain of Trust: Understanding Security Risks in Cross-Cloud IoT Access Delegation”发表在USENIX Security 2020上。 Continue reading
本文根据论文原文“Android SmartTVs Vulnerability Discovery via Log-Guided Fuzzing.” 整理撰写。原文发表于USENIX Security 2021。本文较原文有所删减,详细内容可参考原文。 Continue reading
本文论文原文“You Are What You Broadcast:Identification of Mobile and IoT Devices from (Public) WiFi”发表于USENIX Security 2020。本文旨在利用WiFi网络中设备发出的广播和多播数据包来识别设备类别和发现恶意设备。 Continue reading
本文根据论文“A Formal Analysis of the FIDO UAF Protocol”的相关工作整理撰写,该论文发表于NDSS 2021。论文使用形式化分析技术对当前流行的生物因子身份认证协议FIDO UAF协议进行了分析,总结了协议的漏洞,提出了几种攻击,并成功实施攻击,获得中国国家信息安全漏洞库(CNNVD)漏洞。该论文工作由北京邮电大学的冯皓楠、李晖、潘雪松,以及纽约州立大学布法罗分校的赵子铭合作完成。 Continue reading
本文根据论文原文“From WHOIS to WHOWAS: A Large-Scale Measurement Study of Domain Registration Privacy under the GDPR”整理撰写,原文发表于NDSS 2021。 Continue reading
本文根据论文原文“GreyOne:Data Flow Sensitive Fuzzing.”整理撰写,原文发表于USENIX Security 2020。本文较原文有所删减,详细内容可参考原文。 Continue reading