USENIX Security '24

Per tutti coloro interessati a conoscere gli ultimi avanzamenti della ricerca nella cybsersecurity, consiglio fortemente di andarsi a vedere la lista di papers accettati dalla conferenza USENIX.

Segue il link contenente la lista dei paper accettati per la versione estiva e autunnale:

• https://www.usenix.org/conference/usenixsecurity24/summer-accepted-papers
• https://www.usenix.org/conference/usenixsecurity24/fall-accepted-papers

È un ottimo esercizio quello di provare a leggere articoli scientifici del genere. Non è per niente facile ma è un ottimo modo per scoprire quali sono le più recenti tematiche di ricerca nel campo.

Detto questo, la ricerca accademica in sicurezza è molto diversa dal lavorare in industria nel campo della sicurezza. Molte tecniche sono troppo sofisticate, e tendenzialmente in industria serve molta più reliability e semplicità.

Segue una lista di paper che ho selezionato personalmente. Mi interessano perché trattano tematiche tra Web e Crittografia, il primo con cui ci lavoro, ed il secondo che mi interessa personalmente.

Non gli ho letti tutti ancora, ma solo per il fatto che sono stati selezionati da USENIX significa che sono potenzialmente interessanti. Poi ovviamente questo non signfica che sono sicuramente tutti utili e scritti bene. Ma è un ottimo filtro, ecco.

• Web Security

  • Atropos: Effective Fuzzing of Web Applications for Server-Side Vulnerabilities
    • https://www.usenix.org/conference/usenixsecurity24/presentation/güler
  • Dancer in the Dark: Synthesizing and Evaluating Polyglots for Blind Cross-Site Scripting
    • https://www.usenix.org/conference/usenixsecurity24/presentation/kirchner
  • Spider-Scents: Grey-box Database-aware Web Scanning for Stored XSS
    • https://www.usenix.org/conference/usenixsecurity24/presentation/olsson
  • Vulnerability-oriented Testing for RESTful APIs
    • https://www.usenix.org/conference/usenixsecurity24/presentation/du
  • Why Aren’t We Using Passkeys? Obstacles Companies Face Deploying FIDO2 Passwordless Authentication
    • https://www.usenix.org/conference/usenixsecurity24/presentation/lassak
  • Web Platform Threats: Automated Detection of Web Security Issues With WPT
    • https://www.usenix.org/conference/usenixsecurity24/presentation/bernardo
  • Smudged Fingerprints: Characterizing and Improving the Performance of Web Application Fingerprinting
    • https://www.usenix.org/conference/usenixsecurity24/presentation/kondracki
  • DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping
    • https://www.usenix.org/conference/usenixsecurity24/presentation/huang-cheng

• Cryptography

  • Fingerprinting Obfuscated Proxy Traffic with Encapsulated TLS Handshakes
    • https://www.usenix.org/conference/usenixsecurity24/presentation/xue-fingerprinting
  • Racing for TLS Certificate Validation: A Hijacker’s Guide to the Android TLS Galaxy
    • https://www.usenix.org/conference/usenixsecurity24/presentation/pourali
  • Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation
    • https://www.usenix.org/conference/usenixsecurity24/presentation/bäumer
  • The Challenges of Bringing Cryptography from Research Papers to Products: Results from an Interview Study with Experts
    • https://www.usenix.org/conference/usenixsecurity24/presentation/fischer

• Misc

  • GFWeb: Measuring the Great Firewall’s Web Censorship at Scale
    • https://www.usenix.org/conference/usenixsecurity24/presentation/hoang

Ah e se siete interessati a come poter approcciare la lettura di un articolo scientifico del genere, ho fatto un video sul canale che tratta proprio questo argomento.