该报告系统探讨了基于黑盒扫描的Web应用漏洞挖掘技术。报告重点分析了两项前沿工作:YuraScanner利用大语言模型(LLM)理解网站功能并自主执行任务流,以探索传统扫描器难以触及的深层状态与漏洞;BACScan则专注于检测越权访问(BAC)漏洞,特别是修改类漏洞(MBAC),其通过构建页面间数据依赖图(IDDG)和反馈驱动预言机,显著提升了检测的准确性与覆盖率。两项研究共同代表了Web漏洞挖掘向智能化、深层次和精准化方向的发展趋势
2026042712120848原创文章,作者:bfs,如若转载,请注明出处:https://www.isclab.org.cn/2026/04/27/web%e5%ba%94%e7%94%a8%e6%bc%8f%e6%b4%9e%e6%8c%96%e6%8e%98%e6%8a%80%e6%9c%af%e7%a0%94%e7%a9%b6/
摘要:本报告介绍了web漏洞挖掘中的基本概念,实战通用方案及相关思路总结,进一步详细讲解了手工挖掘中存在的痛点问题,重点阐述了前沿自动化漏洞挖掘算法原理,分析其如何弥补手工挖掘的不…
异常检测是时间序列分析中必不可少的任务,判断数据是否符合正态数据分布,不符合的部分称为异常。及时发出异常可以使系统维护人员主动进行维护,从而在欺诈检测、入侵检测和能源管理等实际应用…
符号执行 (Symbolic Execution)是一种程序分析技术。其可以通过分析程序来得到让特…
该报告针对流式数据中的概念漂移问题,提出了两种应对方法:PUDD利用预测不确定性实现早期漂移检测,比传统错误率更敏感;CALIPER在漂移发生后基于数据自身判断何时累积足够数据以触…
1. 基本知识 由于Android系统使用的是Linux内核,在Linux上使用的很多攻防技术都能被应用到Android上,进程注入技术就是其中一种。(以下有关进程注入的描述大多针…
本学术报告概述了人工智能生成内容检测的背景、挑战及两种核心算法——DetectGPT和DeTeCtive。重点阐述了基于概率曲率的零样本检测方法和多级对比学习框架,分析了其原理、优…
基于统计的命名实体识别方法根据特征的获取方式,有神经网络和特征工程两个研究方向,实践表明来自知识库的词典特征…
随着大模型技术的兴起和发展,软件漏洞模糊测试方法在新技术的赋能下,可以实现更好的代码覆盖率和漏洞发现数量。本次学术报告针对结合大模型实现模糊测试用例生成的方法,介绍了Fuzz4Al…
本学术报告围绕大模型微调中的后门攻击问题展开。内容涵盖:后门攻击的基本原理与主流微调方法;两种新型攻击技术的设计与危害分析;以及针对现有防御体系的不足与盲区,展望后门攻击的未来演进…
强化学习(Reinforcement learning ,RL )是机器学习领域之一,研究如何通过一系列的顺序决策来达成一个特定目标。本次报告从强化学习的基本框架开始,介绍了强化学…
