中科天齐研究团队荣获 Internetware 2025 ACM SIGSOFT 杰出论文奖
2025年6月20—22日,第 16 届国际网构软件会议(Internetware
2025)在挪威特隆赫姆举行,中科天齐团队成员孟海宁博士在会上展示了题为《SLVHound: Static Detection of Session
Lingering Vulnerabilities in Modern Java Web Applications》(现代Java
Web应用会话滞留漏洞的静态检测)的研究成果,并荣获该会议的 ACM SIGSOFT 杰出论文奖。ACM SIGSOFT杰出论文奖是由ACM
SIGSOFT设立的论文奖项,用于奖励软件工程顶级会议上不超过10%的最优秀论文。ACM SIGSOFT 杰出论文奖会话滞留漏洞(Session Lingering Vulnerabilities,
SLV)是一种常被忽视的认证问题,它会导致用户在完成敏感认证操作(如登出、密码修改等)后会话仍持续有效。尽管这类漏洞广泛存在且危害严重,却长期缺乏研究关注。团队首次对Web应用中的SLV进行了系统性研究,通过对2020-2023年间330个的认证相关漏洞分布研究揭示了SLV的普遍性和严重性(CVSS
3.0均分7.7,达到高严重性)。检测SLV需要判断认证敏感操作发生后是否过期了对应的已认证会话。SLV属于应用逻辑类漏洞,不同应用的认证敏感操作和会话过期的实现不同,这给静态检测带来了挑战。本研究通过深入分析这72个实际的BOLA漏洞,总结出推断认证敏感操作和会话过期操作的启发式规则,为后续检测奠定了基础。
在研究过程中,团队开发了新型检测工具SLVHound,该工具通过静态分析代码和SQL查询,识别敏感认证操作与会话终止逻辑,进而验证二者是否严格关联——即执行敏感操作后会话是否立即失效。最终在15款主流Web应用上,SLVHound共报告了46个记录,经验证,其中44个确认为真实SLV(包含30个首次披露的漏洞),获得16个CVE编号。