白泽的前线记者们从小美人鱼的家回来啦！

交流过程中收到了很多朋友对白泽公众号的高度评价，感谢大家的支持！所以我们也第二时间奉上了我们的参会小记。

本次我们派出了5位前线记者，给各地研究人员带来了4场论文报告，还和许久未见的朋友们线下面基，并打卡了小美人鱼！

接下来看看参会详情吧！

Session - Fuzzing I (approaches)

在这一session中，白泽成员博士生邓朋分享了最新研究成果：NestFuzz: Enhancing Fuzzing with Comprehensive Understanding of Input Processing Logic

Fuzzing作为近几年最热门的研究话题之一，在本届CCS中也足足有两个Session，国内外的研究者们对白泽的研究成果也表现出极大的兴趣。在这篇研究工作中，白泽成员们提出了一个新的输入结构感知的模糊测试工作，通过理解和建模程序的输入处理逻辑，来自动化识别输入结构。利用学习到的输入结构知识，我们提出了级联式的变异策略，可以高效生成结构复杂的输入，来触发程序深层的漏洞。在实验中，我们发现NestFuzz可以发现更多的程序漏洞，并发现了46个零天漏洞，收获39个CVE ID。

同时，我们也参加了CCS 2023的Artifact Evaluation，并获得了三个Badges，这说明我们的实验结果都是可以复现哒～

目前NestFuzz的源代码已经开源在Github啦，仓库地址为https://github.com/fdu-sec/NestFuzz, 现在已经有100多个star了哦！欢迎大家follow我们的代码，走过路过不要错过！

Session - Fuzzing II (targets)

在28号下午的第二个Fuzzing Session中，白泽成员博士生邓朋分享了我们的另一项研究成果：SyzDirect: Directed Greybox Fuzzing for Linux Kernel

内核作为系统中最重要的软件组成部分，其安全性也得到了安全研究ers的广泛关注。然而，随着针对操作系统内核的缺陷报告和补丁提交数量急剧增加，对这些漏洞进行复现和补丁进行测试的压力也不断加大。白泽成员们关注到了这一问题，提出了一个针对Linux内核的定向模糊测试工具SyzDirect。通过对Linux内核进行静态分析，SyzDirect可以识别出正确的系统调用和到达目标代码的参数条件。在模糊测试过程中，SyzDirect利用静态分析结果指导测试用例的生成和变异，然后利用基于距离的反馈进行种子优先级排序和功耗调度。我们评估了SyzDirect在上游Linux内核上的bug复现和补丁测试。结果表明，与通用内核模糊测试相比，SyzDirect可以多复现320%的Bug，多到达25.6%的目标补丁。

白泽前线记者还学到了一些新的工具，包括模糊测试的新优化策略、能够解决模糊测试输入构造的解释性测试方法、为分布式系统设计的模糊测试工具，还有Python运行时漏洞检测工具等，同行们的新想法真有趣。

Session - Measuring the web

在这一session中，白泽成员博士生邬梦莹分享了最新研究成果 Understanding and Detecting Abused Image Hosting Modules as Malicious

关注白泽的读者们想必还记得两个月前那篇关于大厂图床滥用的推送（虽然链接现在消失了），这次我们也分享给了国外的朋友们！如果错过了那篇推送，我们可以再给你复习一遍～白泽成员发现了一些储存在大厂图床上的黑产图片，并进一步发现了一种新型的安全威胁——私有图床模块滥用。我们发现了一些开源的工具包正在支持这种滥用行为，并进一步发现了477个在野的图床缺陷。

参会成员对该研究表现出了极大的兴趣，并在报告后进行了积极的交流和讨论。

TO BE CONTINUED

最后，我们亲爱的Xiaojing Liao老师作为CCS2024的general chair宣布了下一年的举办地：盐湖城！10月的盐湖城想必会比11月底的哥本哈根温暖很多！

那让我们看看怎么才能去盐湖城吧

• Cycle 1 DDL: January 28th, 2024

• Cycle 2 DDL: April 14th, 2024 (tentative)

不足60天了，大家快快上班，明年盐湖城见吧～