6月第二周
【论文】 Cross-Language Attacks 作者在本文中主要讨论了跨语言攻击(Cross-Language Attack,CLA)作者指出,不同的编程语言针对安全威胁的防护假设存在很大的差异性这种差异性往往会让攻击者钻了空子——原本在各自编程模型下都不存在安全风险在混合编程模型下,却因为针对安全威胁的防护策略存在冲突而导致对(控制流劫持)攻击的检查存在纰漏,导致攻击者可利用CLA绕过防护 https://www.ndss-symposium.org/wp-content/uploads/2022-78-paper.pdf
【论文】Probe the Proto: Measuring Client-Side Prototype Pollution Vulnerabilities of One Million Real-world Websites论文提出了名为 ProbetheProto 的针对于客户端原型污染的漏洞挖掘工具并且实现了对一百万个真实世界网站的客户端原型污染漏洞及其后果的首次大规模测量结果显示,2738 个真实世界的网站(包括前 1000 个网站中的 10 个)易受 2917 个原型污染零日漏洞的影响;不仅如此,由于原型污染的存在,48 个漏洞进一步导致 XSS,736 个漏洞导致 cookie 操控,830 个漏洞导致 URL 操控 链接: https://yinzhicao.org/ProbetheProto/ProbetheProto.pdf
【论文】 PopSkipJump: Decision-Based Attack for Probabilistic Classifiers https://arxiv.org/abs/2106.07445
黑客团伙又增“一员”,AI 黑客或很快登场 https://www.freebuf.com/news/335602.html
B-Box: 对抗性黑箱攻击工具箱,用于评估Pytorch深度学习模型鲁棒性 https://github.com/SCLBD/BlackboxBench