中科天齐团队参加ACM CCS24大会,提出全新BOLA漏洞检测工具
近日,ACM CCS24即第31届ACM计算机和通信安全大会在美国盐湖城举行,中科天齐团队成员黄永恒博士在会上展示了题为《Detecting Broken
Object-Level Authorization Vulnerabilities in Database-Backed
Applications》的研究成果。该研究针对数据库支持的应用程序中常见的Broken Object-Level Authorization
(BOLA)漏洞展开了深入分析,填补了对该类漏洞系统性研究的空白。研究团队通过分析101个开源应用中的实际BOLA漏洞,总结了数据库支持应用程序中最常见的四种对象级别授权模型。这一分析为开发全新的自动化检测工具BolaRay奠定了基础。BolaRay结合SQL分析和静态分析,自动推断应用程序中使用的授权模型,并验证这些模型是否正确实施了访问控制检查。在对25个流行的数据库支持应用程序进行测试时,BolaRay成功发现了193个真实漏洞,其中178个为首次报告,误报率为21.86%。迄今为止,研究团队已向相关项目的维护者报告了所有新发现的漏洞,155个漏洞已被确认,并且已有52个漏洞获得了CVE编号。ACM CCS与IEEE S&P、USENIX
Security和NDSS并称为信息安全领域的四大顶级国际学术会议,同时也是中国计算机学会推荐的CCF-A类会议。该会议吸引了来自全球的顶尖研究人员与专家,探讨网络安全领域的前沿问题与创新技术,是展示国际最前沿研究成果的重要平台。2024年,ACM
CCS的录取率为16.9%(331/1964),反映了网络安全领域的最高学术水准。
此次研究团队的研究成果进一步推动了对BOLA漏洞的深度理解和自动化检测技术的进展,展示了研究团队在网络安全领域的领先研究实力。