张明雪：浙大最年轻的特聘研究员，为web技术筑牢安全之基

出生于1997年，张明雪在成长中见证了我国计算机技术的快速发展，也深刻感受到互联网对生活产生的重大影响，她下定决心，未来要深入学习这一方面的技术。

高考时她凭借优异成绩，选拔进入武大弘毅班（为培养未来具有国际一流水平的基础学科领军人才而设立的班型），梦想便在此启航。她在接触到了计算机的不同方向之后，她对网络安全产生了浓厚的兴趣，并坚定了在这个方向深入研究的决心。

2018年，以弘毅班第一名的成绩毕业后，她选择去香港中文大学攻读博士，跟随导师从事Web安全和软件安全的研究，包括Web应用程序分析和安全风险防御，以及软件漏洞的自动挖掘。“我的科研道路并不是一番风顺，许多次我也陷入自我怀疑，但是我很幸运地遇到了很多优秀的老师，他们总是坚定地鼓励我、肯定我，同我并肩作战。”张明雪逐渐成长为一名女战士，在用灵活的指尖守护网络安全的城池堡垒，她在USENIX Security，IEEE S&P，CCS，ESEC/FSE，ICSE, WWW，IEEE INFOCOM等CCF-A类国际顶级会议发表10篇文章，用热血青春诠释着一个95后在网络安全研究领域的执著与追求。

年纪轻轻便在网安领域拥有很高的学术造诣，在毕业之后，她成功入职浙大，成为浙大最年轻的特聘研究员，在这个广阔的舞台上延续科研梦想。同时她也走上三尺讲台教书育人，把自己所学习到的最前沿的知识和对网安的理解，传递给同学们。

CSChecker实验方案设计

具体而言，她在GDPR（通用数据保护条例）和CCPA（加利福尼亚消费者隐私法）的背景下，对框架TCF v2.1和USP v1下的交互界面展开研究，在逾百个网站中发现两类新型违规行为：不透明的“合法权益”授权（V5）和不透明的“特殊功能”授权（V6），并指出错误的授权信息存储（V4）同样存在于支持CCPA的网站中。此外，她开发了分析工具CSChecker，通过监测JavaScript对授权信息的存储，识别可能造成各类违规行为的脚本，从而协助网页开发者分析违规现象的成因并进行修复。研究发现许多伪造的授权信息可能服务于用户追踪和定向广告投放，且部分伪造信息是以硬编码的形式存放在特定库中。她对GDPR和CCPA的违规情况展开了对比分析，阐明了不同授权管理机制对于用户体验和网站合规情况的影响，为相关技术规范的制定提出了参考和建议。相关成果已被ICSE 2024接收。

信息系统的第二个安全属性是完整性，它是指数据在传输的过程中不被修改，并且在存储和处理过程中保持原始状态。许多人有过这样的经历，在点击一些网页的特定位置时，会进入广告页、抽奖页甚至下载恶意软件，然而这可能并非网页开发者的本意，而是被第三方拦截和篡改了。发现这一现象后，张明雪和导师经过深入剖析、仔细比对发现，第三方在网页中加入了恶意的JS脚本对网页的关键内容进行了篡改，进而拦截浏览者点击，控制浏览器的跳转行为。这个现象此前从未见报道，首次发现这个现象后，团队基于Google开源浏览器开发了分析系统Observer，相关研究成果在国际顶尖的计算机安全学术会议USENIX Security Symposium 上发表。

Observer对Alexa（全球网站排名计算系统）的25万个网站进行分析后发现，在613个受欢迎网站上存在437个第三方代码在拦截用户点击。这些代码通过拦截用户点击可诱骗用户访问3251个被第三方操控的网址，其中逾36%与在线广告有关，另有部分点击拦截网址会将用户引向恶意内容如诈骗软件。而这些网页每天都有4300万次的访问量，因此，第三方通过JS脚本对网页内容进行更改的行为，已然成为一种严重的新型安全威胁。团队对Observer系统源代码进行公开，浏览器开发者可以依此设计防御机制对抗点击拦截，以帮助建立更安全的网络生态环境。

基于浏览器引擎的JS程序分析工具设计图

Web开发人员可以使用第三方库来构建自己的网站，丰富网站的功能。但是引用第三方库有可能导致开发者自己的代码不能正常执行。在后续的研究中，张明雪团队发现，攻击者还可以利用JS脚本篡改网页上的其他JS代码，从而隐蔽地影响web应用的功能。典型的例子包括原型链污染，攻击者可以通过改写一个JS对象影响整个网页上所有相关代码的功能。针对这一问题，她还开发出基于V8引擎的JS代码动态分析工具，可以识别出JS脚本中包含的冲突定义，这项研究发表在软件工程顶会ESEC/FSE上。她在超过3万个网站上发现了函数和变量的定义冲突，而这些冲突可以用来实现会话固定攻击、篡改网页运行流程等等。在此基础上，她开发出基于V8引擎的轻量级JS代码隔离技术，能够在允许JS脚本执行的同时限制攻击能力。

可用性是信息系统的第三个安全属性，是指信息系统在需要时始终可用的属性，能随时响应用户请求并提供所需的服务和功能。然而，当我们的计算机被攻击者操控进行挖矿等隐秘操作时，可能使相关服务甚至整个设备不可用。在这方面，张明雪也参与过挖矿劫持（Cryptojacking）和正则表达式匹配导致的拒绝服务（ReDoS）漏洞的检测和防御工作，相关成果分别发表在WWW和IEEE S&P。

基于上述研究经验，张明雪也积极涉猎其他相关的研究方向，包括PHP和移动应用的漏洞挖掘、安全加固等，已参与发表两篇顶会论文。目前，她正致力于不断扩展自己的研究领域，并努力将学术成果转化为具有实用价值的科学技术。

张明雪在入职后的第二年开始为竺可桢学院和计算机学院的本科生讲授《网络安全导论》，还为研究生进行《软件安全》的全英文授课。她非常享受传递知识的过程，认真对待每一堂课，激发同学们对于网络安全的兴趣，深入浅出地把复杂难懂的知识点讲得透彻生动。“浙大的同学们非常善于思考，他们很愿意与我交流和探讨，在这个过程中，我们双方都在成长。”张明雪希望同学们不仅知其然，还要知其所以然，提升理论知识水平，为未来投入科研做好充足的准备。

作为导师，她非常注重在具体的项目中去打磨和提升学生的思维水平和解决问题的能力。在她看来，比天赋更难能可贵的是主动思考的品质和专注坚持的态度。具备主动思考、主动学习的能力，就能保持进步、积少成多；在科研中保持一份韧劲和初心，耐得住寂寞，才有可能收获成功。她用心对待每一位学生，在他们困惑的时候给予最及时的指导。

“我习惯在学生遇到难以解决的问题时和他们一起动手寻找解决办法，我们是共同进步的。”谈及自己做科研的感受，她说“做科研有时候需要一点运气，那些‘灵光一现’的点子，可能是非常有价值的。但看似偶然的发现，实则蕴含他的必然。没有前期的积累，就不会有所谓的‘灵光一现’。”她希望在她的指导下，学生能区分什么是好的研究工作，什么是不够好的。认清了标准后朝着好的方向去努力，做到尽善尽美。

“明雪老师对自己的要求非常高，经常为了科研熬夜到很晚才走。她是一个非常nice的老师，把很多时间留给我们，很用心地指导我们。”她的研究生这样评价。

教师简介