中科天齐研究团队荣获 Internetware 2025 ACM SIGSOFT 杰出论文奖

点击蓝字

关注中科天齐

2025年6月20—22日，第 16 届国际网构软件会议(Internetware 2025)在挪威特隆赫姆举行，中科天齐团队成员孟海宁博士在会上展示了题为《SLVHound: Static Detection of Session Lingering Vulnerabilities in Modern Java Web Applications》(现代Java Web应用会话滞留漏洞的静态检测)的研究成果，并荣获该会议的 ACM SIGSOFT 杰出论文奖。ACM SIGSOFT杰出论文奖是由ACM SIGSOFT设立的论文奖项，用于奖励软件工程顶级会议上不超过10%的最优秀论文。

ACM SIGSOFT 杰出论文奖

会话滞留漏洞(Session Lingering Vulnerabilities, SLV)是一种常被忽视的认证问题，它会导致用户在完成敏感认证操作(如登出、密码修改等)后会话仍持续有效。

尽管这类漏洞广泛存在且危害严重，却长期缺乏研究关注。团队首次对Web应用中的SLV进行了系统性研究，通过对2020-2023年间330个的认证相关漏洞分布研究揭示了SLV的普遍性和严重性(CVSS 3.0均分7.7，达到高严重性)。

检测SLV需要判断认证敏感操作发生后是否过期了对应的已认证会话。SLV属于应用逻辑类漏洞，不同应用的认证敏感操作和会话过期的实现不同，这给静态检测带来了挑战。本研究通过深入分析这72个实际的BOLA漏洞，总结出推断认证敏感操作和会话过期操作的启发式规则，为后续检测奠定了基础。

在研究过程中，团队开发了新型检测工具SLVHound，该工具通过静态分析代码和SQL查询，识别敏感认证操作与会话终止逻辑，进而验证二者是否严格关联——即执行敏感操作后会话是否立即失效。最终在15款主流Web应用上，SLVHound共报告了46个记录，经验证，其中44个确认为真实SLV(包含30个首次披露的漏洞)，获得16个CVE编号。

往期阅读

软件源代码安全缺陷检测平台软件安全 网络安全的最后一道防线

中科天齐公司由李炼博士创立

以“中科天齐软件源代码安全缺陷检测平台

（WuKong悟空）”为主打产品

致力打造安全漏洞治理领域新生态的

高新技术企业

长按二维码关注我们

联系方式：400-636-0101

网址：www.woocoom.com

点击在看

分享给小伙伴