本文深入研究了一种新型 Web 安全漏洞——跨小程序请求伪造（Cross Miniapp Request Forgery, CMRF），该漏洞存在于运行于超级应用（如微信、支付宝）内的小程序生态中。与传统的跨站请求伪造（CSRF）不同，CMRF 利用小程序间通过超级应用提供的桥接 API 进行通信的机制，攻击者可以构造恶意请求，诱使受害小程序执行非预期的操作。论文首先系统性地分析了 CMRF 的根因，指出超级应用对小程序的请求来源验证不充分以及小程序之间缺乏隔离是根本原因。随后，作者提出了一种自动化的漏洞检测方法，该方法基于对小程序代码的静态分析和动态模拟，能够识别出可能存在 CMRF 的攻击路径。通过构建原型工具并应用于主流超级应用平台（微信、支付宝、百度等）上的真实小程序，实验发现了大量易受 CMRF 攻击的小程序，证实了该漏洞的普遍性和严重性。此外，论文还讨论了缓解措施，包括加强请求来源验证、实施更严格的权限控制以及设计更安全的小程序间通信协议。该研究为小程序生态的安全防护提供了重要理论依据和实用工具。

该论文针对用户账户创建过程中的安全漏洞进行了实证研究，提出了“账户预劫持”（Pre-hijacking）攻击的概念。不同于传统的账户劫持（攻击者在受害者创建账户后窃取访问权限），预劫持攻击的特点是在受害者创建账户之前，攻击者已执行某些操作，使得受害者后续创建或恢复账户后，攻击者能轻易获得访问权限。论文假设攻击者仅知道受害者的电子邮件地址，识别并描述了五种不同类型的预劫持攻击：经典联合攻击（攻击者先使用受害者邮箱注册联合身份，受害者再用同一邮箱创建原生账户时被绑定到攻击者控制的身份）、未验证电子邮件攻击（服务允许未验证邮箱创建账户，攻击者可先占用邮箱创建账户，受害者后续无法注册）、联合合并攻击（攻击者将受害者现有账户与攻击者控制的联合身份绑定）、跨服务重定向攻击、以及第三方身份供应商劫持。为测试实际影响，作者分析了75个热门在线服务，发现至少35个存在一种或多种预劫持漏洞。其中部分漏洞可能被警惕的用户察觉，但有些对受害者完全不可见。研究进一步分析了漏洞根本原因，并提出了防止此类漏洞的安全需求。该工作来源于对Ghasemisharif等人关于“先发制人账户劫持”研究的扩展。