gossipwiki [Group of Software Security In Progress]

本页面只读。您可以查看源文件，但不能更改它。如果您觉得这是系统错误，请联系管理员。
~~NOTOC~~


======Welcome to G.O.S.S.I.P!======

G.O.S.S.I.P 是国际安全研究界活跃的学术安全团队，主要成就包括：

  * 2018年上海市科技进步奖一等奖
  * 国际安全学术会议（<fc #ff0000>CCS'15,18、NDSS'17、ACSAC'15,16、RAID'15,'19、ESORICS'19、AsiaCCS'14</fc>）学术论文
  * 计算机安全展会（<fc #ff0000>Blackhat、DEF CON China、互联网安全大会、乌云峰会、互联网安全领袖峰会、网络安全生态峰会、全国网络与信息安全防护峰会</fc>）主题演讲
  * 顶级计算机安全竞赛（<fc #ff0000>DEF CON CTF、Hack.lu CTF、Codegate CTF等</fc>）冠亚军
  * 国家大规模科研项目（<fc #ff0000>科技重大专项、科技支撑、重点研发计划、自然科学基金重点项目</fc>）

我们的密切合作伙伴包括：
  * [[https://security.alipay.com/universityHome.htm|上海交通大学-蚂蚁金服 安全科技联合研究中心]]
  * 国内外知名安全研究机构（高校安全实验室、企业安全研究院）
  * 国内知名互联网和安全公司（<fc #ff0000>爱奇艺、阿里巴巴、CNCERT、华为、百度、腾讯、派盾科技、看雪学院、乌云、长亭科技等</fc>）

加入G.O.S.S.I.P: 
  * 所有实习生均需要经过**三个月**考察期

- **实验室地址：** 上海市闵行区东川路800号，上海交通大学电信群楼4号楼117室

=== 联系方式 ===
  - 邮件：loccs //at// sjtu //dot// edu //dot// cn
  - 微信公众号：**安全研究GoSSIP**
  - 知乎专栏：[[https://zhuanlan.zhihu.com/securitygossip|信息安全 GoSSIP]] 
  - 新浪微博：[[http://weibo.com/u/3659841663|GoSSIP_SJTU]]
  - Blog：[[https://securitygossip.com|Security GoSSIP]]
  - Github：[[https://github.com/GoSSIP-SJTU/|Gossamer 代码开放计划]]
===== 活动新闻 =====
== 学术演讲 ==
  - **《软件实现中的密码安全问题和防护》** 《信息安全学报》技术沙龙（2020年12月4日，在线）
  - **《基于复杂程序分析的移动应用合规分析和代码安全隔离控制研究》** 华为-上海交通大学网络空间安全学院创新实验室workshop（2020年11月12日，上海）
  - **《非法副本——Android手机数据迁移服务中的安全漏洞研究》** 2020 “江夏晴川”网络空间安全workshop（2020年11月8日，武汉）
  - **《IoT系统的安全分析与测试》** 华为上研所技术交流学术报告（2020年5月9日，上海）
  - **《永无止境的军备竞赛——代码安全的攻防发展趋势》** 上海电机学院学术报告（2020年4月16日，在线）
  - **《非法副本——Android系统移机服务安全分析》** 2019 Real World CTF 技术论坛（2019年12月8日，北京）
  - **《劫持你的屏幕：打开智能电视认证的三重门》** 2019 “OGeek 即刻不凡” 大移动安全高峰论坛（2019年9月21日，深圳）
  - **《文心雕“虫”——利用自然语言理解技术发现内存破坏漏洞》** 2019 互联网安全领袖峰会主题演讲（2019年7月31日，北京）
  - **《密码代码实现的安全问题和分析技术》** 2019年华为可信软件工程大会（2019年6月，上海）
  - **《司南: 定位二进制代码中的不安全密钥》** InForSec网络安全研究国际学术论坛2019年会（2019年1月，北京）
  - **《易伪造的数字钥匙——智能门锁Token安全性分析与防护》** 2018 互联网安全领袖峰会主题演讲（2018年8月28日，北京）{{ :gossip:slides:css2018.pdf |PDF}}
  - **《路上Wi-Fi欲断魂：攻击SmartCfg无线配网方案》** 2018 DEF CON 神州安全大会主题演讲（2018年5月13日，北京）{{ :gossip:slides:defconChina2018.pdf |PDF}}
  - **《智能家居平台中的隐私与安全问题》** 2017 中国互联网安全大会（ISC）主题演讲（2017年9月，北京）{{ :gossip:slides:ics2017.pdf |PDF}}
  - **《危机重重的移动终端VPN加密》** 2017 腾讯安全探索论坛主题演讲（2017年8月，北京）{{ :gossip:slides:css2017.pdf |PDF}}
  - **《虚拟世界的阴影-Android平台MMO游戏攻防》** 2017 网络安全生态峰会(2017 Internet Security Summit) 主题演讲（2017年7月，北京）

== 媒体报道 ==
  - 《南方都市报》对我们关于SmartCfg无线配网方案安全研究工作的报道——[[http://toutiao.3g.oeeee.com/mp/toutiao/BAAFRD00002018051880443.html|链接]]

== 安全致谢 ==
  - 荣获“**小米安全中心2019年度最佳守护者**”奖（2019年11月21日，国内高校唯一）
  - 获得小米安全中心（MiSRC）漏洞修复致谢（2019年4月）
  - 荣获“**蚂蚁金服2019年度安全生态杰出伙伴**”奖（2019年1月10日，国内高校唯一，连续三年获奖）
  - 获得蚂蚁金服安全应急响应中心（AFSRC）漏洞修复致谢（2018年4月）
  - 获得美团点评安全应急响应中心（MDSRC）漏洞修复致谢（2018年4月）
  - 荣获“**蚂蚁金服2017年度安全生态杰出伙伴**”奖（2018年1月18日，国内高校唯一，连续两年获奖）
  - 获得京东安全应急响应中心（JSRC）漏洞修复致谢（2018年3月）
  - 获得蚂蚁金服安全应急响应中心（AFSRC）漏洞修复致谢（2017年9月）
  - 荣获“**蚂蚁金服2016年度安全生态杰出伙伴**”奖（2017年1月6日）

== 奖励成就 ==
  - 四名小组成员获得**2020年DataCon大数据安全分析竞赛**奖励（僵尸网络分析方向第三名、恶意代码分析方向第六名）！热烈祝贺！！！
  - 三名在读同学和七名毕业生获得**2020年DEF CON CTF总决赛世界冠军**！热烈祝贺！！！
  - 张宇尧同学研究成果在**SANER 2020上荣获最佳论文奖（Best Paper Award）**！热烈祝贺！！！
  - 三名在读同学在**2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛**中（2019年11月16日）荣膺特等奖！热烈祝贺！！！
  - 多名毕业生、在读同学、实习生在**2019年DEF CON CTF总决赛（2019年8月）中赢得全球第四名**荣誉！热烈祝贺！！！
  - 六名成员荣膺**2018年上海市科技进步奖一等奖**奖励！热烈祝贺！！！
  - 两位在读同学在**第三届全国高校网安联赛（X-NUCA 2018）总决赛**中获得总决赛团队特等奖（第一名）荣誉！热烈祝贺！！！
  - 两位在读同学在**2018年网鼎杯信息安全竞赛中赢得总成绩第四名，高校组亚军**荣誉！热烈祝贺！！！
  - 多名毕业生和两位在读同学在**2018年DEF CON CTF总决赛中赢得全球第四名**荣誉！热烈祝贺！！！
  - 四名毕业生和两位在读同学在**2017年DEF CON CTF总决赛中赢得全球季军**荣誉！热烈祝贺！！！
  - 2017年 **h1702 CTF 移动安全比赛**季军！！！热烈祝贺！！！

== 科研活动 ==
  - 2020 **“江夏晴川”网络空间安全workshop** [[https://zhuanlan.zhihu.com/p/280743014|活动纪实]]
  - Let's GoSSIP **移动智能系统与软件安全暑期学校2019** [[http://loccs.sjtu.edu.cn/summerschool/|课件下载！]]
  - 承担国家自然科学基金面上项目：**可执行程序中私有密码系统定位与分析**，2019.01-2019.12
  - 承担工业和信息化部重大专项：**面向智能装备的工业互联网安全技术典型应用推广**，2018.06-2020.12
  - Let's GoSSIP **移动智能系统与软件安全暑期学校2018**
  - Let's GoSSIP **移动智能系统与软件安全暑期学校2017** [[https://zhuanlan.zhihu.com/p/27704519|课程介绍]]
  - Let's GoSSIP **移动智能系统与软件安全暑期学校2016** [[https://zhuanlan.zhihu.com/p/21776300|课程小记]]
  - 承担国家自然科学基金项目重点项目：**移动智能终端系统的漏洞分析与对抗技术研究（U1636217）**，2017.01-2020.12


===== 学术论文 =====
==程序安全分析==
  - **SANER 2020** -- **SMARTSHIELD: Automatic Smart Contract Protection Made Easy**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/saner20a.pdf|pdf]]
  - **SANER 2020** -- **EthPloit: From Fuzzing to Efficient Exploit Generation against Smart Contracts**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/saner20b.pdf|pdf]]
  - **RAID 2019** -- **NLP-EYE: Detecting Memory Corruptions via Semantic-Aware Memory Operation Function Identification**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/raid19.pdf|pdf]]
  - **ICSME 2018** -- **BinMatch: A Semantics-based Hybrid Approach on Binary Code Clone Analysis**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/icsme18.pdf|pdf]]
  - **ISC 2017** -- **Translating Embedded VM Code in x86 Binary Executables** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/isc17.pdf|pdf]]
  - **ICSME 2017** -- **Embroidery: Patching Vulnerable Binary Code of Fragmentized Android Devices** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/icsme17.pdf|pdf]]
  - **DSC 2017** -- **MIRAGE: Randomizing Large Chunk Allocation Via Dynamic Binary Instrumentation** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/dsc17.pdf|pdf]]
  - **ICPC 2017** -- **Binary Code Clone Detection across Architectures and Compiling Configurations** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/icpc17.pdf|pdf]]

==移动智能设备安全==
  - **ACSAC 2020** -- **Certified Copy? Understanding Security Risks of Wi-Fi Hotspot based Android Data Clone Services**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/acsac20.pdf|pdf]]
  - **Journal of Information Security and Applications** -- **Security analysis of third-party in-app payment in mobile applications**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/jisa19.pdf|pdf]]
  - **SANER 2019** -- **AppCommune: Automated Third-party Libraries De-duplicating and Updating for Android Apps**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/saner19.pdf|pdf]]
  - **APSEC 2018** -- **An Empirical Study of SDK Credential Misuse in iOS Apps**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/apsec18.pdf|pdf]]
  - **NSS 2018** -- **Burn After Reading: Expunging Execution Footprints of Android Apps**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/nss18.pdf|pdf]]
  - **Journal of Systems and Software** -- **AppSpear: Automating the Hidden-Code Extraction and Reassembling of Packed Android Malware** --  [[https://loccs.sjtu.edu.cn/~romangol/publications/jss18.pdf|pdf]]
  - **NDSS 2017** -- **Show Me the Money! Finding Flawed Implementations of Third-party In-app Payment in Android Apps** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/ndss17.pdf|pdf]]

==密码算法和协议的代码实现安全==
  - **CCS 2018** -- **K-Hunt: Pinpointing Insecure Cryptographic Keys from Execution Traces**  --  [[https://loccs.sjtu.edu.cn/~romangol/publications/ccs18.pdf|pdf]]
  - **Inscrypt 2017** -- **NativeSpeaker: Identifying Crypto Misuses in Android Native Code Libraries** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/inscrypt17.pdf|pdf]]
  - **CANS 2017** -- **Oh-Pwn-VPN! Security Analysis of OpenVPN-based Android Apps** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/cans17.pdf|pdf]]
  - **NSS 2014** -- **iCryptoTracer: Dynamic Analysis on Misuse of Cryptography Functions in iOS Applications** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/nss14.pdf|pdf]]
  - **Inscrypt 2013** -- **Automatic Detection and Analysis of Encrypted Messages in Malware** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/inscrypt13.pdf|pdf]]
  - **ICICS 2012** -- **Detecting Encryption Functions via Process Emulation and IL-Based Program Analysis** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/icics12.pdf|pdf]]
  - **ISC 2011** -- **Detection and Analysis of Cryptographic Data Inside Software** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/isc11.pdf|pdf]]

==物联网安全==
  - **WiSec 2018** -- **Passwords in the Air: Harvesting Wi-Fi Credentials from SmartCfg Provisioning** --  [[https://loccs.sjtu.edu.cn/~romangol/publications/wisec18.pdf|pdf]]
  - **CCS 2017 workshop (IoT S&P)** -- **Smart Solution, Poor Protection: An Empirical Study of Security and Privacy Issues in Developing and Deploying Smart Home devices** -- [[https://loccs.sjtu.edu.cn/~romangol/publications/iotsp17.pdf|pdf]]


====== GoSSIP Overview======
  * [[gossip:overview|一览:Overview]]
      * [[gossip:overview:publication|论文:Publications]]
      * [[gossip:overview:patent|专利:Patents]]
      * [[gossip:overview:project|项目:Funds]]
      * [[gossip:overview:promotion|外宣:Promotion]]

====== GoSSIP内部入口 ======
  * [[gossip:gossipwiki|后花园]]

~~DISCUSSION:off~~