2022年5月10日至13日，世界黑帽大会Black Hat Asia 2022以线上线下混合方式举行。工程师学院移动智慧物联网卓越培养项目2020级硕士研究生曲振青在导师吴春明教授的指导下牵头研发的成果“AutoSpear: Towards Automatically Bypassing and Inspecting Web Application Firewalls”（针对Web应用防火墙的自动化攻击方法）入选本届大会议题，并受邀在大会上作成果分享报告。这是工院研究生首次以第一作者身份在世界黑帽大会上发表网络安全成果。  

Black Hat大会被公认为是世界信息安全行业的最高盛会，在国际上具有广泛的影响力。每年分别在美国、亚洲、欧洲各举办一次。会议聚焦先进的信息安全技术研究、发展和趋势，对来自全球各地提交的安全技术议题进行严格的筛选评估，每年议题通过率不足20%，其强技术性、权威性、客观性引领未来网络安全思想和技术的走向。本届亚洲峰会分15个领域，共入选38项安全议题。曲振青同学的研究成果同时入选AppSec应用安全和Network Security网络安全领域，且均为两个领域中唯一入选议题。

曲振青同学研究成果入选世界黑帽大会

本项研究是在移动智慧物联网卓越培养项目课题负责人吴春明教授的指导下，由曲振青牵头并联合课题组成员凌祥博士研发完成。通过对云环境Web应用防火墙的安全性进行系统性的研究和评估，首次提出了基于语义解析树及上下文无关文法的攻击载荷变异方法，研发了能够对云上Web应用防火墙进行自动化攻击的可扩展框架AutoSpear。借助AutoSpear，在真实云上环境对Amazon AWS、F5、Fortinet、Cloudflare、ModSecurity等国内外主流厂商的Web应用防火墙实施了自动化的安全评估与漏洞发现。在实现最高99%攻击成功率的情况下，成功发现了主流厂商Web应用防火墙存在的高危安全漏洞。攻击者利用这些漏洞可绕过Web应用防火墙的防护，从而窃取数据库中的隐私数据，甚至可直达服务器控制权限的接管。

曲振青在世界黑帽大会上作报告

该研究成果目前得到了学术界和工业界的广泛认可。在收到研究小组的披露报告后，所有受影响厂商均高度重视，并迅速开启修复过程。截至目前，已有半数受测厂商完成了漏洞修复，剩余受测厂商正与研究小组深入合作以彻底修复漏洞。此外，F5等厂商还通过其应急响应中心为研究小组所提交漏洞进行致谢和奖励。研究成果在黑帽大会发表后，已有DarkReading、俄罗斯资安实验室SecurityLab等多家国外媒体及研究实验室进行了跟踪报道。

工程师学院智慧物联与安全防御工程实训平台

近年来，移动智慧物联网卓越培养项目有关研究生在导师吴春明教授团队的指导下，充分利用学院智慧物联与安全防御工程实训平台、浙江大学摇光实验室等设施设备，聚焦Web安全、云安全、系统安全、智能化漏洞挖掘等主动防御领域的研究，积极参与国家、省部级重点研发计划项目10余项，获得授权或公开的国家发明专利30余项。研究生们多次参加国内外网络安全竞赛，蝉联两届Datacon大数据安全竞赛冠军；数次受邀参加省市级网络攻防演练活动，从攻击者的视角为重要基础设施及重点单位排查网络安全隐患和漏洞，多次荣获优秀团队奖和网络安全技术支撑单位先进称号等。

文字记者：李婷

部分内容由受访团队提供