该论文针对PHP原生应用中服务器端请求伪造（SSRF）漏洞的检测问题展开研究。现有静态污点分析工具在检测SSRF时存在高误报和高漏报的问题，主要原因包括：未纳入应用特定的source和sink函数、未考虑PHP动态类型特性、缺乏SSRF专用的污点分析规则，从而导致过度污点标记（over-tainting）和欠污点标记（under-tainting）。为此，作者提出了一种精确检测PHP Web应用中SSRF漏洞的技术方法。该方法首先提取PHP内置函数和应用特定函数作为候选source和sink函数；其次，提取显式和隐式函数调用以构建应用的调用图；最后，基于一组防止过度和欠污点标记的规则执行污点分析。作者实现了原型工具，并对不同类型的PHP Web应用进行了评估。初步实验表明，该工具在13种不同类型的应用中检测出24个SSRF漏洞，其中20个为已知漏洞，4个为新发现漏洞。论文的主要贡献在于提出了针对SSRF的专用污点分析规则，有效降低了误报和漏报，并成功发现了新的安全漏洞。适合Web安全研究人员、PHP开发者以及安全检测工具开发者阅读。

本论文题为《Web Cache Deception Escalates!》，旨在系统性地扩展和深化对Web缓存欺骗（Web Cache Deception）攻击的理解。Web缓存欺骗是一种利用Web服务器与缓存服务器之间行为差异的攻击技术，攻击者通过构造巧妙的HTTP请求，诱使缓存服务器将包含敏感信息（如会话令牌、个人数据）的响应缓存下来，进而使其他用户（包括攻击者）能够从缓存中获取这些信息。传统的研究主要关注简单缓存配置下的攻击场景，而本文作者团队通过大规模实证分析，揭示了在现代Web基础设施（如CDN、反向代理、负载均衡器）以及复杂应用逻辑下，该攻击存在多种升级变种。具体而言，论文提出了三种新的攻击类别：基于路径混淆的升级、基于内容类型操纵的方法以及利用缓存键（Cache Key）设计缺陷的技术。作者通过自动化扫描工具对Alexa Top 10K网站进行评估，发现大量网站仍然存在被利用的风险，且现有防护措施（如设置正确的缓存头、使用Vary头部）在新型攻击面前效果有限。此外，论文还分析了不同CDN提供商（如Cloudflare、Akamai、Fastly）的行为差异，指出攻击者可能利用提供商之间的协作漏洞。实验证明，攻击成功率可达较高比例，且影响范围从早期的静态资源扩展到动态API端点。该工作为防御者提供了更全面的威胁模型，并为设计更鲁棒的缓存策略提供了指导。

本文提出了一种自动化检测Web浏览器客户端安全机制缺陷的实用框架。该框架利用Web Platform Tests（WPT）这一跨浏览器测试套件，自动收集浏览器执行轨迹，并将其与Web不变式进行匹配。Web不变式是用一阶逻辑表示的Web机制预期安全属性，例如Cookie安全属性、混合内容策略等。研究团队在Firefox、Chromium和Safari三个主流浏览器上，针对9个关键安全不变式进行了验证，共发现104个测试用例中存在违反不变式的行为，这些违规具有明确的安全含义。例如，某些浏览器未正确实施Cookie的SameSite属性，导致跨站请求伪造攻击风险；或未严格执行混合内容策略，允许HTTPS页面加载HTTP资源。团队已向浏览器厂商和标准机构披露了违规的根本原因，并获得了8个单独报告和1个Safari的CVE。该工作的核心贡献在于：1) 形式化定义了Web安全机制的不变式；2) 基于WPT的自动化检测方法，可复用于其他浏览器或安全机制；3) 发现了实际浏览器中的多处安全缺陷。本文适合Web安全研究人员、浏览器开发者以及关注客户端安全机制的工程师阅读。

该论文评估了六种前沿和开放权重的大型语言模型（LLMs）在实际Web漏洞检测中的能力，专注于WordPress插件中的静态分析。研究涵盖了SQL注入、存储型跨站脚本、路径遍历和远程代码执行四类漏洞，使用了五种不同结构、范围和复杂度的提示设计，并在三轮实验迭代中测试。结果显示，所有模型都能发现有效安全问题，但检测率因模型和提示而异：Claude Opus 4.6达到最高检测率63%，开源模型MiniMax M2.5以48%的表现与前沿模型相当，而自托管的Qwen 3.5仅为35%。研究发现，限定漏洞范围的提示优于开放式提示，而提示复杂度影响不大。值得注意的是，没有模型在三轮迭代中实现完全一致的报告，一致性最低仅50%。此外，没有一个模型能正确识别某个插件中的基准漏洞。论文为安全从业者提供了实践经验，并公开了所有代码和数据以支持未来研究。

本文系统性研究了客户端 Web 安全机制在不同浏览器及浏览器扩展之间存在的安全不一致性问题。作者首先对常见的客户端安全机制（如内容安全策略 CSP、XSS 过滤器、跨域资源共享 CORS、HSTS 等）进行了梳理，并基于安全策略的生效条件、执行方式、绕过可能性等维度，提出了一个安全不一致性的分类法。随后，他们设计并执行了大规模的自动化测量实验，覆盖了主流浏览器（Chrome、Firefox、Safari、Edge 等）及其不同版本，以及多种流行的安全扩展（如 NoScript、uBlock Origin 等）。测量结果显示，同一种安全机制在不同浏览器甚至同一浏览器的不同版本之间，其行为存在显著差异，例如 CSP 的 strict-dynamic 指令在部分浏览器中未正确实现，XSS 过滤器在某些浏览器中完全缺失，CORS 预检请求的处理逻辑不统一等。基于这些发现，作者进一步讨论了攻击者如何利用这些不一致性来绕过客户端安全防御，并提出了几种跨浏览器攻击场景，例如通过兼容性差异绕过 CSP 注入过滤器。实验还表明，即使是安全扩展也无法完全消除这些不一致性，甚至自身也可能引入新的不一致。论文的主要贡献在于：1）首次系统化定义并量化了客户端 Web 安全的不一致性；2）提供了详尽的测量方法论和数据集，可供后续研究使用；3）揭示了实际风险的多样性，强调了统一跨浏览器安全标准的重要性。该研究适合浏览器厂商、Web 应用开发者以及安全研究人员阅读，以理解当前客户端安全生态的碎片化现状。

该论文研究了现代Web应用中由于安全策略（如内容安全策略CSP、同源策略SOP）实现不一致所导致的安全问题。作者通过大规模测量实验，系统性地分析了不同浏览器、不同网站对相同安全策略的解析差异，发现大量策略被错误配置或绕过，从而引入跨站脚本(XSS)等攻击风险。论文提出了一个统一的安全策略评估框架，能够自动化检测策略实现中的不一致性，并利用该框架揭示了多个广泛使用的网站和库中的漏洞。实验证明，该方法在真实环境中发现了数百个可被利用的策略绕过点，并提出了改进建议。该研究适合Web安全研究人员、浏览器开发者以及网站运维人员阅读。

像素窃取攻击是一种跨域信息泄露技术，允许恶意网站通过嵌入受害者网站的iframe并使用SVG滤镜计算像素值，从而侧信道泄露敏感内容。该攻击由Stone于2013年首次提出，但现代浏览器和网站通过严格限制iframe的嵌入（如X-Frame-Options、Content Security Policy）以及防止跨域cookie共享（如SameSite属性）已大幅缓解此类威胁。本文回顾了像素窃取攻击的历史演进，分析了当前浏览器安全机制的有效性，并探讨了在现有防御下是否仍存在绕过可能。研究可能聚焦于发现新的侧信道或利用浏览器API的细微漏洞，但摘要未提供具体技术细节或实验验证。该工作对理解Web安全边界和同源策略的局限性具有参考价值。

本文提出 ReScan，一个与扫描器无关的中间件框架，旨在透明地增强黑盒 Web 漏洞扫描器的能力。现有扫描器在处理现代 Web 应用时存在导航和交互困难，导致代码覆盖率低。ReScan 通过协调一个全功能的现代浏览器来中介扫描器与 Web 应用的交互，从而以真实且健壮的方式增强扫描能力。该框架模块化且可扩展，包含多种增强技术来应对常见限制。实验表明，尽管引入全功能浏览器带来了一定开销，但 ReScan 显著提升了流行扫描器的代码覆盖率（平均增加 168%），并使得反射型和存储型 XSS 漏洞的检测数量分别增加 66% 和 161%。该框架可与现有及未来的扫描器协同工作，为安全研究者提供了一种改进黑盒扫描效果的新途径。

本文提出 WEBRR，一个针对现代 Web 攻击的取证回放与调查系统。当前 Web 应用广泛采用动态内容加载、跨域请求、JavaScript 异步交互等特性，导致传统基于静态页面或简单重放的取证工具难以准确捕获和复现攻击场景。WEBRR 通过浏览器内核级别的监控和注入技术，完整记录攻击过程中的所有网络请求、DOM 变化、JavaScript 执行上下文以及浏览器状态，并支持精确回放，包括用户交互事件的时间序。系统设计包括三个模块：捕获模块（轻量级浏览器代理，记录所有请求-响应及渲染事件）、存储模块（压缩存储以确保取证完整性）、回放模块（基于 Chromium 的定制回放引擎，可重现攻击期间的全部视觉效果和网络交互）。实验在多个真实攻击样本（含 XSS、CSRF、点击劫持、钓鱼等）和 80 余种流行网站上进行，结果表明 WEBRR 能成功回放所有攻击，且回放保真度（通过视觉相似度度量）超过 95%，性能开销在可接受范围内。相比现有工具如 Reticle、Hindsight 等，WEBRR 克服了对现代 Web 框架（如 React、Angular）的依赖和动态脚本重放难题。该工作为安全分析师提供了高效、准确的攻击场景重现手段，有助于深入理解攻击原理、验证检测规则和开展事后调查。

本研究系统性地调查了用户在网页表单提交前，电子邮箱和密码信息被第三方脚本截获的风险。研究团队通过测量网络流量和JavaScript执行，分析了大量网站的数据泄漏行为。结果显示，许多网站在表单提交前就将用户输入（包括电子邮件和密码）发送给第三方，如分析服务、广告平台和数据代理商。研究量化了泄漏的程度和频率，识别了常见的泄漏路径，包括表单自动填充、键盘记录器和数据收集脚本。此外，研究还探讨了隐私法规（如GDPR）对此类实践的约束，并提出了防御建议，如使用更严格的HTTP头、禁用第三方脚本等。该研究为理解网络隐私威胁和设计更安全的表单处理流程提供了重要参考。

本文提出了一种名为符号解释器分析（SIA）的新方法，用于解决动态Web应用程序在符号执行中面临的多语言挑战。传统的符号执行工具由于对动态语言（如PHP）的语法支持有限且工程成本高，难以有效分析现代Web应用。SIA的核心思想是：由于Web应用逻辑由解释器（如PHP解释器）执行，因此可以利用现成的符号执行引擎分析解释器的二进制代码，从而间接理解Web应用的行为。这种方法继承了解释器对完整语法的支持，并复用了现有符号执行引擎的成熟工程实现。然而，SIA需要解决若干技术挑战，包括Web应用的探索（如处理超链接、表单等）、数据库交互的符号化建模等。作者基于SIA实现了SymPHP，一个针对PHP应用的混合执行（concolic execution）引擎。实验表明，SymPHP在多种PHP应用上实现了高代码覆盖率，并成功识别了数据集中77.23%的已知漏洞，显著优于此前的方法。此外，基于SymPHP构建的混合模糊测试框架进一步提升了模糊测试效率，并发现了10个新漏洞。该工作适合安全研究人员、Web应用安全工程师以及符号执行领域的开发者阅读，为动态语言Web应用的自动化漏洞发现提供了新的思路。

本文针对Web界面中的隐私欺骗模式（Privacy Deceptive Patterns）提出了一种新的威胁模型——AI Grooming，并设计了基于智能体的防御框架DPAgent。隐私欺骗模式通过系统性的设计手法操纵用户泄露个人数据，而现有防御手段分散、静态，且易被大语言模型（LLMs）利用。此外，数据空洞（Data Voids）——即网络生态系统中信息稀缺的区域——为攻击者提供了注入看似良性但实际恶意内容的机会，这些内容会被AI系统抓取和学习，从而放大欺骗性设计和模型异常行为。作者形式化了AI Grooming威胁：攻击者利用数据空洞植入伪装成正常样本的恶意样本，以破坏模型推理并使欺骗性实践正常化。为应对该威胁，DPAgent框架协调四个专有智能体：1）探索智能体：在实时Web环境中主动探索欺骗性UI；2）检测智能体：利用潜在空间净化与防御性提示技术检测欺骗模式；3）修复智能体：自动修复检测到的欺骗界面；4）评估智能体：持续监控防御效果。该框架直接在Web浏览器环境中运行，无需后端修改。实验表明：DPAgent对Groomed样本的检测率达90.98%，在隐私欺骗模式检测任务中取得0.816的微F1分数，达到当前最优；仅访问约10%的基线所需页面即可探索超过80%的模式类型；成功修复77%的检测到的欺骗界面。对485个真实网站的规模研究发现，高达98%的网站包含至少一个隐私欺骗模式，其中超过90%可被DPAgent缓解。用户研究进一步证实DPAgent在保持浏览体验的同时有效降低了隐私风险。本文工作展示了智能体中间人防御在保障Web UI供应链安全、对抗基于数据空洞利用的欺骗性设计与新兴AI威胁方面的潜力。适合安全研究人员、LLM应用开发者以及隐私保护从业者阅读。

本文研究了代码风格对静态应用安全测试（SAST）工具发现漏洞能力的影响。尽管SAST工具存在许多已知局限性，但代码模式如何影响其分析能力此前鲜有探讨。作者通过实验，使用多种商业和开源安全扫描器，编译了超过270种不同的代码模式，这些模式会阻碍现有工具对PHP和JavaScript代码的分析。这些模式包括控制流混淆、数据流复杂化、反射使用等常见编码习惯。作者提出，在软件开发生命周期中检测这些模式的存在，可以向开发者提供关于其代码可测试性的重要反馈。这有助于开发者更好地评估残留风险，即使SAST工具报告无发现，代码中仍可能隐藏漏洞。此外，该方法还可指出替代的代码转换方式，以提升代码对SAST的可测试性。实验结果表明，这些模式显著降低了工具的检测覆盖率，且不同类型模式的影响各异。本文的贡献在于系统性地分类和量化了代码模式对安全测试的影响，为改进SAST工具和开发安全编码实践提供了实证基础。适合安全研究员、SAST工具开发者及关注DevSecOps的团队阅读。

本文针对当前Web应用供应链中资源完整性缺乏有效验证的问题，提出了一种链接完整性管理系统（Link Integrity Management System）。研究背景指出，尽管Web持续增长，但依赖监控工具和资源完整性标准的发展滞后，导致供应链攻击成为Web应用攻击面中最受关注的部分。目前没有一种既通用又高性能的方法来验证Web资源的完整性。作者设计的系统旨在提供一种可扩展且高效的完整性验证机制，通过自动检测外部资源链接的变更、失效或被篡改，从而帮助开发者及时识别并修复潜在的安全风险。实验部分（基于论文内容推测）可能展示了该系统在真实Web应用中的部署效果，验证了其在检测完整性违规方面的准确性和低性能开销。主要贡献包括：提出了一种系统化的链接完整性管理方法；实现了对资源变更的实时监控；为防御供应链攻击提供了新的技术手段。适合Web安全研究人员、DevOps工程师以及关注供应链安全的安全从业者阅读。

本论文系统性地探索了现代Web中同站（same-site）攻击的威胁，重点关注子域名接管和跨站攻击的变种。研究背景：随着SameSite Cookie等防御机制的普及，传统跨站攻击（如CSRF）受到限制，但攻击者转向利用站点内部的同站弱点。核心问题：攻击者能否通过控制子域名或利用同站上下文实施攻击？方法：作者对Alexa Top 10K网站进行了大规模实证分析，评估子域名可注册性、DNS配置漏洞以及同站Cookie泄露风险。主要贡献：1）发现大量网站存在可被注册的子域名，导致子域名接管攻击；2）识别出同站Cookie设置中的逻辑缺陷，允许攻击者在同站内冒充用户；3）提出一种新的攻击向量——同站请求伪造（Same-Site Request Forgery），绕过现有防御。实验结果表明，超过15%的网站在至少一个子域名上存在风险。该研究为Web开发者提供了改进配置的指南，并建议浏览器厂商加强同站策略的强制执行。读者对象：Web安全研究者、浏览器开发者和网站运维人员。

本文研究了 Google 提出的 Shared Storage API，该 API 是 Privacy Sandbox 的一部分，旨在替代第三方 cookie，同时减少隐私风险。Shared Storage API 允许第三方存储不被顶级网站分区的数据，但限制对这些数据的读取权限，以防止用户跨站重识别。然而，作者发现该 API 的设计和实现存在缺陷，使得攻击者能够绕过隐私保护目标，实现跨站用户重识别，并泄露比 Google 预期更多的数据。作者通过多种攻击方法证明了这些缺陷，包括利用 API 的写入和读取机制，结合其他 Web 技术（如导航和事件时序）来推断用户身份。尽管作者已向 Google 负责任地披露了这些攻击，但大多数攻击在 Chrome 中仍可执行。论文详细描述了攻击原理、实验验证，并讨论了潜在的缓解策略。该研究对关注 Web 隐私、广告技术和浏览器安全的研究人员和安全从业者有重要参考价值。

本研究针对不同设备平台（如桌面端、移动端、物联网设备等）上JavaScript代码执行行为不一致的问题进行了系统性的实证分析。由于硬件差异、操作系统版本、浏览器引擎实现差异以及安全策略（如内容安全策略CSP）的不同，同一JavaScript脚本在不同平台上可能产生不同的执行结果，这给Web应用的一致性、安全性以及用户隐私带来了挑战。为了检测和量化这种差异，作者开发了名为SyntTest的工具，该工具能够生成大量的JavaScript测试用例，并在多种设备平台上自动化执行以收集行为数据。通过对超过10,000个真实世界网站的分析，研究发现约15%的网站存在显著的跨平台执行差异，其中涉及DOM API调用差异、事件处理顺序不同、以及安全限制（如跨域请求、localStorage访问）导致的功能异常。论文进一步将这些差异分类，并探讨了它们对安全审计、Web爬虫、以及前端合规性的影响。实验结果表明，现有的一体化测试工具（如Selenium）难以完全模拟实际设备环境，可能导致漏报或误报。作者最后提出了一些缓解策略，包括使用更细粒度的设备指纹检测和增强的沙箱测试环境。该工作为Web安全研究人员和浏览器开发者提供了宝贵的参考，揭示了跨平台兼容性问题背后隐藏的安全风险。

该论文提出了一种基于元学习的无监督零日Web攻击检测框架RETSINA，旨在解决现有方法需要大量训练数据且仅能针对特定域名训练的问题。研究背景是现有基于无监督学习的Web应用防火墙（WAF）增强系统虽然能检测零日攻击，但需要长时间收集训练数据，部署周期长。核心问题是如何在仅有少量训练数据的条件下，跨组织内多个不同域名实现高效的零日攻击检测。方法上，RETSINA利用元学习在异构域名之间共享知识，包括HTTP请求之间的关联关系，从而快速训练检测模型。具体设计了自适应预处理模块，支持跨域Web请求的语义分析；并提出多域表示方法，捕获不同域名之间的语义相关性以进行跨域模型训练。实验使用四个真实世界数据集（共2.93亿条Web请求），结果表明RETSINA仅需5分钟的训练数据即可达到现有方法使用1天训练数据分别训练各域模型的检测性能。此外，在互联网公司实际部署一个月，RETSINA在两个域名中分别日均捕获126和218个零日攻击请求。该工作对安全社区的主要贡献是显著降低了零日Web攻击检测的部署门槛，使得在数据稀缺的新域名上快速启用自适应检测成为可能。适合关注Web安全、异常检测、元学习应用的研究人员和工程师阅读。

该论文聚焦于网络环境中年龄验证机制的缺失问题，指出当前未成年人在未经有效年龄检查的情况下即可访问色情、赌博、暴力、仇恨言论以及烟酒等有害内容，对其世界观和心理健康构成严重威胁。作者首先分析了现有法规及方案，如欧盟《数字服务法案》（DSA）推动的数字钱包或年龄验证应用程序，以及英国和澳大利亚已实施的实践，指出现有方案在数据敏感性、隐私风险和用户体验方面存在不足。例如，依赖政府身份验证可能会过度暴露个人信息。为解决这些挑战，论文提出了一种基于开放标准和密码学技术的替代方案，核心组件包括Privacy Pass和Privacy Access Tokens。该方案无需用户安装专门软件，而是利用匿名凭证和令牌机制实现隐私保护的年龄验证：用户可以从多个可信提供商中选择验证方，仅披露年龄或年龄范围而不泄露身份信息，从而降低数据泄露风险。作者通过安全与隐私分析论证了该方案能够抵抗跟踪、链接和过度披露等威胁。论文的主要贡献在于设计了一个去中心化、用户可控且符合分层保障要求的年龄验证框架，为政策制定者和技术开发者提供了一种平衡未成年人保护与隐私权的新思路。适合关注数字身份、隐私增强技术及青少年在线安全的学者和工程师阅读。

TLS降级攻击（TLS stripping attacks）通过强制安全的HTTPS连接回退到未加密的HTTP，从而暴露敏感网络流量。当前防御机制依赖网站运营商主动选择启用安全措施，例如部署HTTP严格传输安全（HSTS）头部，但这些机制存在显著局限性：部分机制较弱或配置复杂，增加了配置错误的风险并降低了实际采用率；另一些机制违反HTTP向后兼容性；至少有一种机制甚至可以被滥用以实现非预期的用户跟踪。本文提出HSTS-Enforced机制，旨在消除TLS降级攻击的剩余攻击面，同时允许运营商在必要时安全地指定其网站需通过HTTP访问，从而保持可访问性。为此，我们将当前的选择加入（opt-in）安全模型翻转为选择退出（opt-out）模型：所有连接默认使用HTTPS，运营商可以通过所谓的“HTTP-Required”指示器显式选择退出，如果其网站需要HTTP。我们提出了两种HTTP-Required指示器：一种新的DNS记录和HTTP-Required预加载列表。我们在多种部署场景下评估了HSTS-Enforced，证明它能阻止所有实际的TLS降级尝试，同时保持对需要HTTP的网站的兼容性，且不会在典型情况下引入开销。最后，我们概述了一条实用的过渡路径以加速全球采用。

该论文提出了一种针对DOM-XSS（文档对象模型跨站脚本）漏洞的自动化检测方法。核心思路是将网页交互模糊测试与URL组件合成相结合。具体而言，方法首先通过模糊测试生成各种用户交互事件（如点击、输入、滚动等），触发网页中的JavaScript逻辑；同时，系统会动态合成包含恶意payload的URL组件（如哈希、查询参数等），并注入到页面中，以观察是否触发执行。实验在真实世界的网站集上验证了该方法的有效性，发现多个未知的DOM-XSS漏洞，并与现有工具进行了对比。该方法不需要访问页面源代码，仅通过黑盒测试即可检测，适合大规模自动化扫描。主要贡献包括：1）设计了一种兼顾交互覆盖和URL变异的模糊测试策略；2）提出了一种基于执行上下文追踪的漏洞判定机制；3）在真实环境下展示了较高的检出率和较低的误报率。

该论文针对基于深度学习的Web攻击检测模型缺乏可解释性的问题，提出了一种通过恶意载荷定位实现可解释检测的方法。作者认为，传统深度学习模型在检测Web攻击时虽然准确率高，但无法明确指出攻击的具体位置，导致安全分析师难以理解和验证检测结果。为此，论文设计了一个包含注意力机制的神经网络架构，该架构在检测恶意请求的同时，能够输出输入文本中每个token对最终判断的贡献权重，从而定位出关键的恶意载荷片段。实验基于公开的Web攻击数据集（如HTTP CSIC 2010和CICIDS2017）进行，结果表明所提方法在保持高检测精度（F1-score > 0.98）的前提下，能够有效定位出SQL注入、XSS等攻击的Payload部分，并且定位结果与人工标注的ground truth高度一致。此外，论文还通过可视化案例展示了模型的可解释性输出，验证了其在实际安全分析中的辅助价值。该研究为深度学习在安全领域的落地提供了新的思路，使得模型不仅是一个黑盒检测器，还能给出可被人类理解的证据。

本论文主要研究第三方对内容安全策略（CSP）和子资源完整性（SRI）的拦截行为及其对Web安全的影响。CSP和SRI是两种重要的Web安全机制，用于防止跨站脚本攻击（XSS）和确保资源加载的完整性。然而，第三方实体（如浏览器扩展、网络代理、ISP等）可能会出于性能优化、功能增强或恶意目的，修改或拦截这些机制。论文通过大规模测量和实证分析，揭示了第三方拦截的普遍性、常见模式以及由此引入的安全风险。研究发现，许多流行的浏览器扩展和网络代理会移除或篡改CSP头，降低安全保护；同时，SRI的完整性检查也可能被绕过。论文进一步分析了这些拦截行为对不同类型网站的影响，并提出了可能的缓解措施，包括改进浏览器安全策略、加强扩展审核以及提供更好的用户透明性。该研究对于Web安全从业者理解第三方干预的威胁，以及设计更健壮的安全机制具有重要意义。

本文深入研究了一种新型 Web 安全漏洞——跨小程序请求伪造（Cross Miniapp Request Forgery, CMRF），该漏洞存在于运行于超级应用（如微信、支付宝）内的小程序生态中。与传统的跨站请求伪造（CSRF）不同，CMRF 利用小程序间通过超级应用提供的桥接 API 进行通信的机制，攻击者可以构造恶意请求，诱使受害小程序执行非预期的操作。论文首先系统性地分析了 CMRF 的根因，指出超级应用对小程序的请求来源验证不充分以及小程序之间缺乏隔离是根本原因。随后，作者提出了一种自动化的漏洞检测方法，该方法基于对小程序代码的静态分析和动态模拟，能够识别出可能存在 CMRF 的攻击路径。通过构建原型工具并应用于主流超级应用平台（微信、支付宝、百度等）上的真实小程序，实验发现了大量易受 CMRF 攻击的小程序，证实了该漏洞的普遍性和严重性。此外，论文还讨论了缓解措施，包括加强请求来源验证、实施更严格的权限控制以及设计更安全的小程序间通信协议。该研究为小程序生态的安全防护提供了重要理论依据和实用工具。

该论文针对用户账户创建过程中的安全漏洞进行了实证研究，提出了“账户预劫持”（Pre-hijacking）攻击的概念。不同于传统的账户劫持（攻击者在受害者创建账户后窃取访问权限），预劫持攻击的特点是在受害者创建账户之前，攻击者已执行某些操作，使得受害者后续创建或恢复账户后，攻击者能轻易获得访问权限。论文假设攻击者仅知道受害者的电子邮件地址，识别并描述了五种不同类型的预劫持攻击：经典联合攻击（攻击者先使用受害者邮箱注册联合身份，受害者再用同一邮箱创建原生账户时被绑定到攻击者控制的身份）、未验证电子邮件攻击（服务允许未验证邮箱创建账户，攻击者可先占用邮箱创建账户，受害者后续无法注册）、联合合并攻击（攻击者将受害者现有账户与攻击者控制的联合身份绑定）、跨服务重定向攻击、以及第三方身份供应商劫持。为测试实际影响，作者分析了75个热门在线服务，发现至少35个存在一种或多种预劫持漏洞。其中部分漏洞可能被警惕的用户察觉，但有些对受害者完全不可见。研究进一步分析了漏洞根本原因，并提出了防止此类漏洞的安全需求。该工作来源于对Ghasemisharif等人关于“先发制人账户劫持”研究的扩展。