项目报名｜本科生科研项目报名开始啦！

小程序安全审计平台

指导教师简介

杨哲慜，复旦大学计算机科学技术学院副教授、博导。

研究方向为软件安全威胁理解和分析方法，包括恶意攻击检测和漏洞发现等技术领域，在国际顶级学术会议和期刊上发表论文20余篇（含网络空间安全四大顶会论文16篇），研究成果被国家互联网应急中心授予2021年最具价值漏洞奖，相关工作多次被美国纳斯达克官网、中央电视台一套“3-15 晚会”等主流媒体报道。具有丰富的本科生指导经验，连续两年获评全国信息安全竞赛作品赛优秀指导教师，带领本科生团队斩获第十四届全国信息安全竞赛作品赛全国一等奖、第十五届全国信息安全竞赛作品赛全国一等奖及全国信息安全竞赛最具创业价值奖、第八届中国国际“互联网+”大学生创新创业大赛上海赛区金奖等多项奖项。

项目背景和研究内容（点击展开）

近年来，随着移动互联网的进一步发展，“超级App+小程序”成为移动互联网时代开发者探索的新模式。以微信、支付宝等移动应用为代表的平台搭载了数以百万计的第三方小程序，涉及到了我们生活的方方面面。

随着“超级App+小程序”新型平台的兴起，出现了一系列严峻而复杂的安全挑战。这些问题不仅仅限于用户数据隐私的保护，更深入涉及系统和应用程序层面的漏洞，潜在的恶意代码威胁，以及整个生态系统中潜在的不法行为。课题导师带领的研究团队长期研究这一新型平台中存在的安全问题，曾发现不同超级App（微信、百度、支付宝等）中数万个小程序存在的安全漏洞，这些安全漏洞可被攻击者利用实施账号窃取、钓鱼诈骗等高危害恶意操作，对用户的隐私安全造成极大的威胁。

为有效应对前述安全挑战，本项目旨在以课题组具备的漏洞挖掘经验和已有的技术积累为基础构建一套全面适用于小程序安全的自动审计平台，融合领先的安全技术和审计方法，通过全面的扫描和检测机制，系统地辨识小程序中可能存在的漏洞。该平台不仅可以帮助开发人员或企业进行自查，还能够帮助超级App及时排查和规避小程序市场中存在的安全问题，从而保障小程序市场的安全。

具体研究内容如下：

1.  平台架构设计与实现：设计并实现小程序安全审计平台的整体架构，包括平台基础支撑能力、小程序静态分析、动态分析和漏洞检测等关键部分。

2.  安卓应用跨端框架：逆向安卓应用内小程序跨端框架，基于客户端能力实现小程序爬虫、反编译、动态运行环境搭建、自动化点击探索等能力，以辅助小程序安全审计。

3.  小程序动静态安全分析技术：基于小程序密钥泄漏、多端交互敏感操作、后端信息泄露、组件漏洞等问题，利用动静态分析工具，自动化实现对小程序的安全性评估。

招募学生要求

1.  有一定的漏洞挖掘基础

2.  需要较强的工程实践能力

3.  每周工作时间至少1天

基于RASP的Web漏洞治理平台

指导教师简介

张源，复旦大学计算机科学技术学院教授、博导，青年长江学者。

主要研究方向为软件安全，研究工作获得ACM CCS 2020最佳论文提名、USENIX Security 2022杰出论文奖，担任IEEE S&P， ACM CCS，USENIX Security，NDSS，USENIX ATC，WWW等会议程序委员会委员，部分研究成果应用于华为、阿里、OPPO、vivo等公司，获得OPPO产学研优秀合作伙伴奖、vivo最佳安全技术合作伙伴奖。带领复旦白泽战队获得国内外顶尖安全攻防赛事20余次冠军，发现大量真实软硬件系统高危漏洞，获得2021年国家信息安全漏洞库最具价值漏洞奖。

项目背景和研究内容（点击展开）

Web应用安全面临日益严峻的挑战，Web漏洞的频繁出现严重威胁用户的隐私和敏感信息安全。传统的Web应用漏洞修复方案往往响应速度较慢，且对未知漏洞的应对能力不足。为了应对这一挑战，本项目构建一套创新的Java Web漏洞治理平台，基于RASP（Runtime Application Self Protection，运行时应用自我保护）技术实现动态Web漏洞热修复能力，以提高Web应用的安全性和可靠性。

在提供漏洞热修复能力的同时，本项目还致力于解决漏洞管理和热修复技术中的关键技术问题，提高平台的可用性和灵活性。对于Java Web应用中漏洞组件定位困难的问题，本项目集成先进的软件成分分析、漏洞信息关联和补全、漏洞补丁识别等技术，精确识别Java Web应用中受漏洞影响的第三方组件及对应的补丁信息。针对传统基于RASP的热修复带来的即时重编译开销问题，本项目通过优化Java虚拟机即时编译器重编译和调度算法，提高热修复效率和实用性。对于人工编写热修复规则效率低的问题，本项目还将分析漏洞补丁信息生成漏洞热修复RASP规则，实现自动化漏洞防护。

本项目预期研发一套基于RASP的Web漏洞治理平台，具备可视化的Web漏洞补丁分析和管理、动态Web漏洞热修复等关键功能，降低传统修复方案的开销，提高自动化防护能力。具体研究内容如下：

1.  平台架构设计与实现：设计并实现基于RASP的Web漏洞治理平台的整体架构，包括Web应用管理、RASP热修复模块以及补丁信息分析模块等关键组成部分。

2.  漏洞信息关联和补丁识别技术：基于软件成分分析、漏洞信息关联和补全、漏洞补丁识别等技术，实现Java Web应用中已知漏洞和相关补丁的精准识别和提取。

RASP性能优化和规则生成技术：优化Java重编译策略，并结合补丁信息自动化生成热修复规则，以提高RASP引擎的性能及漏洞热修复效率。

招募学生要求

1.  具备扎实的计算机科学或相关专业的基础知识，包括计算机网络、数据库、编程等

2.  有Java开发及网络空间安全相关经验，了解常见的Web漏洞和攻击手法，对安全防护有一定的认识

3.  良好的沟通和表达能力

开源软件供应链漏洞检测系统

指导教师简介

张磊，复旦大学计算机科学技术学院助理研究员。

主要在移动安全、系统安全和区块链安全领域进行安全漏洞相关研究，包括程序代码分析技术、软件自动化测试技术以及漏洞挖掘技术等。在IEEE Security&Privacy，ACM CCS，USENIX Security等网络安全领域国际顶尖学术会议上发表过多项研究成果。曾获ACMSIGSAC中国优博奖和ACM中国优博提名奖，获2022年USENIX Security最佳论文奖（国内高校首次），研究成果被美国计算机学会评为ACM HighLights研究（国内高校首次）。

项目背景和研究内容（点击展开）

随着开源生态的普及，现代软件开发越来越依赖于软件供应链：开发者会直接引用多个成熟的第三方开源组件来满足自身需求。同时，组件之前存在嵌套引用、交叉引用、定制化修改等现象，使得软件供应链愈发复杂。根据Forrester Research的研究，应用软件中80%～90%的代码来自开源组件，突显了软件供应链向开源化方向迅速发展的趋势。

开源代码作为开源软件基石，因具有广泛的可访问性和可利用性而使得其安全性成为了软件供应链安全领域的焦点。近年来，软件供应链攻击事件频发，平均年增长高达742%，对比近三年开源软件平均缺陷密度，密度缺陷都在逐年上升。直接威胁企业运营和国家基础设施建设，因此，及时检测开源代码漏洞、提升开源代码安全性已刻不容缓。

针对这一问题，本项目提出了一个针对开源软件供应链的漏洞检测系统，该系统包括两个关键的技术：

1. 开源软件深层漏洞发掘技术。本项目提出了自动化输入结构识别技术，并设计了一种称为“输入处理树”的数据结构。通过细粒度的程序分析，梳理程序的输入处理逻辑，识别输入结构之间的依赖关系，建立输入处理树。基于输入处理树的结构，自动化构造定向的输入，结合模糊测试技术、符号执行技术，从而自动化挖掘深层漏洞。

2. 软件供应链漏洞分析技术。本项目基于控制流分析、数据流分析等程序分析技术，对程序的控制流进行分析，确定漏洞的可达性;通过数据流分析，综合评估漏洞上游软件的利用风险，了解漏洞可能对整个软件生态系统造成的影响。最后，梳理软件供应链输入处理逻辑，建立输入处理树，依靠输入处理树构造输入，进行定向模糊测试，验证漏洞可触发性

招募学生要求

1.  积极上进，勤奋踏实

2.  主动探索，不惧未知

3.  具备计算机相关背景知识

面向交通法律法规的无人驾驶系统合规测评

指导教师简介

戴嘉润，复旦大学计算机科学技术学院专任副研究员。

主要的研究方向为软件安全，程序分析，无人驾驶系统安全等，相关的研究成果发表在CCS, USENIX Security, ICSE等网络安全领域和软件工程领域的知名会议。在软件安全领域具有扎实的实践能力，荣获多项知名网络安全攻防竞赛奖项，如XNUCA 全国高校网安联赛冠军（2019，2020），XCTF 国际网络攻防联赛冠军（2021）等。

项目背景和研究内容（点击展开）

目前， L2+级别的自动驾驶已成为前沿车型的标配功能，L3级别的自动驾驶也在工信部的牵头下逐步拉开市场准入的帷幕。然而，随着车辆的智能化进程持续加速，自动驾驶的预期功能与预期驾驶环境也呈现出复杂化与多样化的趋势（例如，由相对可控的高速巡航场景转向错综复杂的城区驾驶场景）。在该背景下，自动驾驶的安全合规测评也面临着严峻的挑战。目前，前沿的学术工作与业界实践多采用仿真测试挖掘碰撞类的严重无人车事故（如车车相撞和人车相撞）。

然而，仅有少数工作尝试挖掘无人车违反交通法律法规的驾驶场景。因遵守交通法律法规是无人驾驶系统市场准入的必要门槛，本项目旨在研究高效且自动化的交通违规场景挖掘技术，进一步提升无人驾驶系统的安全性。具体地说，本项目将针对典型的高阶无人驾驶系统百度Apollo，尝试搭建交通法律法规的仿真合规测试平台，以典型国家/地区的交通法律法规为测试范本，高效挖掘Apollo的交通违规驾驶场景。

招募学生要求

1.  具备扎实的LINUX环境使用经验

2.  对无人驾驶安全领域有浓厚的兴趣

3.  熟练掌握python语言

4.  具备一定的大模型/AI技术的使用经验