清华新闻网11月17日电 11月14日至18日,第30届国际计算机学会(Association for Computing Machinery,简称ACM)软件工程基础国际会议(The ACM SIGSOFT Joint European Software Engineering Conference and Symposium on the Foundations of Software Engineering, 简称ESEC/FSE)在新加坡召开。清华大学软件学院姜宇副教授课题组的论文“基于动态写读关系分析的浏览器API测试”(Minerva: Browser API Fuzzing with Dynamic Mod-Ref Analysis)获得杰出论文奖(Distinguished Paper Award)。
获奖证书
浏览器安全性是被广泛关注的问题。浏览器暴露大量的内置API来让web应用访问和修改浏览器的内部状态。已有的浏览器模糊测试工具通过生成包含大量的API调用的测试用例来挖掘浏览器的安全漏洞,然而大量的API组合构成的搜索空间使得已有模糊测试工具难以探索深层的API交互逻辑,极大地影响了挖掘漏洞的效率。获奖论文创新地提出了利用API后端处理逻辑间的内存“修改-引用”关系,来找到API间的隐式干涉关系,进而引导高效的浏览器输入生成。该方法目前已在三个主流浏览器(Chromium,Safari,FireFox)上找到35个漏洞,其中5个由于安全严重性被分配了CVE号且获得了浏览器开发商的认可和致谢。
获奖研究成果示意图
ESEC/FSE是软件工程领域顶尖学术会议,该会议每年汇集了来自学术界和工业界的研究人员和从业人员,重点关注软件工程各个领域的实际应用。该会议是CCF推荐A类会议,也是清华大学计算机学科推荐A类会议。2022年共接收99篇论文,接收率22%。在接收论文中,7篇论文获得ACM SIGSOFT杰出论文奖。
供稿:软件学院
编辑:李华山
审核:郭玲
2022年11月17日 10:59:07
删除或更新信息,请邮件至freekaoyan#163.com(#换成@)