该论文针对PHP原生应用中服务器端请求伪造（SSRF）漏洞的检测问题展开研究。现有静态污点分析工具在检测SSRF时存在高误报和高漏报的问题，主要原因包括：未纳入应用特定的source和sink函数、未考虑PHP动态类型特性、缺乏SSRF专用的污点分析规则，从而导致过度污点标记（over-tainting）和欠污点标记（under-tainting）。为此，作者提出了一种精确检测PHP Web应用中SSRF漏洞的技术方法。该方法首先提取PHP内置函数和应用特定函数作为候选source和sink函数；其次，提取显式和隐式函数调用以构建应用的调用图；最后，基于一组防止过度和欠污点标记的规则执行污点分析。作者实现了原型工具，并对不同类型的PHP Web应用进行了评估。初步实验表明，该工具在13种不同类型的应用中检测出24个SSRF漏洞，其中20个为已知漏洞，4个为新发现漏洞。论文的主要贡献在于提出了针对SSRF的专用污点分析规则，有效降低了误报和漏报，并成功发现了新的安全漏洞。适合Web安全研究人员、PHP开发者以及安全检测工具开发者阅读。

CVE-2026-48555 是一个存在于 Spatie Laravel Media Library 组件（版本低于 11.23.0）中的服务器端请求伪造（SSRF）漏洞。该漏洞源于 InteractsWithMedia.php 文件中的 addMediaFromUrl() 方法未充分验证用户提供的 URL，导致远程攻击者能够诱使服务器向任意外部或内部地址发起 HTTP 请求。攻击者可以利用此漏洞探测内网服务、扫描开放端口、读取云元数据（如 AWS 或 GCP 的实例元数据）或发起针对内部系统的攻击。尽管 CVSS 评分为 7.4（高危），但需要注意的是该漏洞尚未被列入已知被利用漏洞目录（KEV），也未有明确的在野利用报告。受影响的应用是任何集成了受影响 Spatie Laravel Media Library 版本且未对用户输入进行严格过滤的 Laravel 项目。修复版本为 11.23.0，官方已通过增加 URL 验证和限制措施来修复此问题。建议所有使用该库的团队立即升级，并在无法立即升级的情况下实施临时缓解措施，如限制 addMediaFromUrl() 可接受的域名白名单或禁用该功能。

本文深入研究了一种新型 Web 安全漏洞——跨小程序请求伪造（Cross Miniapp Request Forgery, CMRF），该漏洞存在于运行于超级应用（如微信、支付宝）内的小程序生态中。与传统的跨站请求伪造（CSRF）不同，CMRF 利用小程序间通过超级应用提供的桥接 API 进行通信的机制，攻击者可以构造恶意请求，诱使受害小程序执行非预期的操作。论文首先系统性地分析了 CMRF 的根因，指出超级应用对小程序的请求来源验证不充分以及小程序之间缺乏隔离是根本原因。随后，作者提出了一种自动化的漏洞检测方法，该方法基于对小程序代码的静态分析和动态模拟，能够识别出可能存在 CMRF 的攻击路径。通过构建原型工具并应用于主流超级应用平台（微信、支付宝、百度等）上的真实小程序，实验发现了大量易受 CMRF 攻击的小程序，证实了该漏洞的普遍性和严重性。此外，论文还讨论了缓解措施，包括加强请求来源验证、实施更严格的权限控制以及设计更安全的小程序间通信协议。该研究为小程序生态的安全防护提供了重要理论依据和实用工具。