2026-01-17 01:55:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 复旦大学团队获ACMCCS2025杰出论文奖，提出BACScan框架解决Web应用越权检测难题。该技术首创反馈驱动黑盒检测机制，利用跨页面数据依赖图和层次化遍历，突破传统扫描器在修改型越权上的局限。实验显示BACScan检出大量高危0-day，准确率达100%，显著优于BurpSuite等主流工具。 综合评分： 95 文章分类： WEB安全,漏洞分析,安全工具,渗透测试

cover_image

ACM CCS 2025杰出论文奖丨复旦大学计算与智能创新学院再获国际顶尖学术荣誉

信息网络安全杂志

2026年1月15日 17:01 上海

导语

复旦大学计算与智能创新学院系统软件与安全实验室与香港中文大学合作完成的研究成果 “BACScan: Automatic Black-Box Detection of Broken-Access-Control Vulnerabilities in Web Applications”入选网络安全国际顶级会议 ACM CCS 2025（CCF-A类），并荣获杰出论文奖（Distinguished Paper Award）。该研究针对长期位居 OWASP Top 10 首位的Broken Access Control (越权) 漏洞，提出了首个反馈驱动（feedback-driven）黑盒检测框架，显著提升了黑盒扫描器对越权漏洞的检测精度，在理论创新与实证成果上均有突出的表现。

#

项目背景

越权漏洞（Broken Access Control, BAC）是当前 Web 应用中最严重且最常见的安全风险之一。从 PayPal、Twitter 到 TikTok，多家全球知名平台都曾曝出因访问控制配置不当而导致的敏感数据泄露与越权操作问题。

然而，现有黑盒扫描器通常依赖于“响应相似度（Response Similarity）”机制作为漏洞判断依据：若攻击者请求返回的响应与受害者相似，则认为可能存在越权。这种方法在读取型越权漏洞（RBAC）中可行，而对更危险的修改型越权漏洞（MBAC）——如未授权的数据删除、篡改——几乎无能为力。

#

案例说明

下图中包含两个真实案例

(a) 案例一：存在漏洞

攻击者 Bob 通过修改请求参数 uid 重放受害者 Alice 的更新请求（/api/v1/user/update），成功更改了她的用户名。然而，HTTP 响应中并没有任何能反映修改是否成功的字段（仅返回 uid 和 addr 等用户信息）。

因此，虽然漏洞真实存在，但由于响应内容相似度较低，基于响应相似度的扫描器会漏报该漏洞。

(b) 案例二：不存在漏洞

攻击者 Bob 尝试删除受害者 Alice 的订单。应用已正确实现访问控制，因此删除失败。

但由于两个请求的响应页面结构非常相似（都返回 302 重定向 + 相同 JSON 字段），传统扫描器误以为出现越权删除漏洞，因此造成误报。

#

研究成果

为此，研究团队提出了首个反馈驱动的黑盒BAC检测框架 – BACScan，其核心创新在于突破传统“响应相似度假设”，让扫描器具备“理解页面反馈”的能力。

BACScan 包含三个关键技术模块：

1.跨页面数据依赖图（Inter-page Data Dependency Graph, IDDG）。建模网页间的数据流动关系，通过插入唯一 Token、自动遍历与匹配反馈页面，形成数据依赖边，帮助扫描器“看到”修改行为的后果。

2.反馈驱动漏洞验证（Feedback-Driven Oracle）。通过分析页面间的数据依赖关系，BACScan 能自动识别修改页面（Modification Page）与反馈页面（Status Page）之间的关联，从而判断未授权修改是否成功。

3.层次化遍历策略（Hierarchical Traversal）。面对复杂的现代Web应用，BACScan 设计了分层遍历算法，优先访问更可能提供反馈的页面，效率提升达 109.1%，实现高效的大规模自动检测。

#

研究贡献

本研究在 Web 应用越权漏洞检测领域取得以下关键成果：

1.提出首个反馈驱动的检测框架

通过跨页面反馈分析，突破现有黑盒方法无法检测修改型漏洞的瓶颈。

2.大规模实证验证

在 20 个真实 Web 应用中成功检测出 89 个 BAC 漏洞，其中 54 个为 0-day，检测准确率达 100%，召回率达 92.9%。

3.超越业界最先进工具

与NDSS’25论文EvoCrawl及商用工具BurpSuite对比，BACScan的精度大幅提升，显著减少误报与漏报。

第一作者

刘丰毓，复旦大学21级硕博连读生，白泽CTF战队队长，导师为张源教授、杨珉教授。主要研究方向包括越权漏洞治理、智能体安全，在CCS、S&P、USENIX Security等网络安全顶会上发表论文 8 篇，其中第一作者4篇，获S&P 2025和CCS 2025杰出论文奖。相关研究成果在阿里巴巴、华为等多家行业头部公司落地，发现数百个高危0-day漏洞，获得苹果、微软、英特尔等公司致谢。在网安竞赛方面，获得国家级网络安全攻防演练、CTF竞赛冠军十余项。

#

团队介绍

张源教授团队长期从事软件安全方向的研究，多项成果应用于华为、阿里、OPPO、vivo等公司，获华为优秀技术成果奖、阿里巴巴优秀技术合作项目、OPPO产学研优秀合作伙伴、vivo最佳安全技术合作伙伴奖等。这也是该团队本年度第三次获得网络安全领域国际顶级学术会议的重要奖项。

1.《Pig in a Poke: Automatically Detecting and Exploiting Link Following Vulnerabilities in Windows File Operations》：提出首个针对 Windows 中Link Following漏洞的自动化检测与利用框架，获得USENIX Security 2025 荣誉提名奖。

《Detecting Taint-Style Vulnerabilities in Microservice-Structured Web Applications》：提出首个面向微服务系统的污点类漏洞静态检测方案，获得IEEE S&P 2025杰出论文奖。
《BACScan: Automatic Black-Box Detection of Broken-Access-Control Vulnerabilities in Web Applications》：提出首个针对越权漏洞的黑盒检测框架，获得ACM CCS 2025杰出论文奖。

#

来源：复旦大学计算与创新智能学院

推荐阅读

“网安+法学”双学位 | 看南开大学、东南大学、重庆邮电大学在新赛道上加速跑
芯片安全漏洞难检测？看西工大“抽象四次方”如何破解芯片安全难题
“五色石”计划下，东南大学网络安全人才培养模式创新“密码”揭秘
“实战派”网安人才培养新范式，看上海交通大学、暨南大学、湖南大学如何转变模式锻造网安实战人才
做研究，读“经典”！看中国科学技术大学、东南大学、南开大学和兰州大学网络空间安全领域青年教师如何挖出让审稿人眼前一亮的新切口

信息网络安全

《信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。

中文核心期刊

中国科技核心期刊

中国科学引文数据库来源期刊

CCF计算领域高质量科技期刊

我们在不断努力和完善中，期待您的关注和支持！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息网络安全杂志《ACM CCS 2025杰出论文奖丨复旦大学计算与智能创新学院再获国际顶尖学术荣誉》