在刚公布的国际网络与信息安全顶级会议S&P 2023(IEEE Symposium on Security and Privacy)论文录用结果中，我院博士生曹思聪为第一作者的论文“ODDFUZZ: Discovering Java Deserialization Vulnerabilities via Structure-Aware Directed Greybox Fuzzing”以长文类型录用。该研究成果由扬州大学联合蚂蚁集团、清华大学等单位研究人员共同完成，是我校首次以第一单位在该顶级会议上发表论文。

序列化和反序列化在各种应用系统、中间件中随处可见，漏洞防守也是重中之重。攻击者可以通过构造恶意输入，让应用程序对不可信数据做了反序列化处理，产生非预期的对象时造成任意代码执行，从而达到攻击目的。该工作基于污点分析搜索出的可能导致反序列化漏洞的候选调用链，应用了一种结构感知的种子生成方法来保证测试用例的有效性，并采用混合反馈和步进式的变异策略来指导定向模糊测试来探索这些候选项。结果表明，本方法可以有效发现并验证16个已知的调用链。此外，在Oracle WebLogic Server等知名的开发框架与中间件上进行了测试，发现了6个以前未报告的反序列化漏洞，其中5个被授予了CVE编号。该工作得到CCF-蚂蚁科研基金的资助，所研发工具已在蚂蚁集团内部部署。

IEEE S&P会议创办于1980年，是中国计算机学会推荐的A类会议，是计算机安全领域四大安全会议（CCS、S&P、USENIX、NDSS）之一，也被认为是计算机安全领域的最高级别会议。