feat: global navigation bar + verification badge across all 9 pages

- Unified nav bar with links to all research articles - Verification badge: Docker 37/37, Zenodo DOI, IACR 2026/526, Packet Storm - Mobile responsive hamburger menu - PoC payloads and evidence screenshots added - Draft articles and planning files included Co-Authored-By: Claude <noreply@anthropic.com>
2026-06-27 05:34:17 +08:00 · 2026-03-25 05:31:19 +08:00
parent a3825c939f
commit cae3c54867
42 changed files with 3665 additions and 9 deletions
--- a/.planning/llm_outputs/step4_t1_oracle.md
+++ b/.planning/llm_outputs/step4_t1_oracle.md
@@ -0,0 +1,107 @@
+[Delegate] provider=ollama-cloud 域=security 模型=deepseek-v3.2 web_search=false
+# 支付宝DeepLink安全研究博客强化方案
+
+## 一、技术内容修正与增强 (立即执行)
+**1. 修正已知技术错误**
+- 在博客中明确标注CORS技术细节修正说明，引用GitHub commit hash [需验证: 确认meooxx修正的具体commit]
+- 在iOS攻击面section新增"常见复现失败原因"子节，针对Issue#5的反馈：
+  - 列出必须的iOS版本范围（如iOS 15.0-16.6）
+  - 明确设备型号限制（A12及以上芯片）
+  - 添加故障排查流程图
+  - **优势**：降低复现门槛，减少无效反馈
+  - **风险**：可能暴露攻击条件限制，降低漏洞感知严重性
+  - **置信度**：高
+
+**2. 新增独立复现指南**
+- 创建`/reproduction-guide.html`独立页面，包含：
+  - 分步环境配置（Android ADB版本/iOS设备准备）
+  - 可粘贴的PoC代码块（含版本标记）
+  - 预期输出截图对比
+  - **优势**：标准化复现流程，提升研究可重复性
+  - **风险**：可能被恶意利用
+  - **置信度**：高
+
+## 二、搜索可见性优化 (24-72小时执行)
+**1. CVE分配加速**
+- 向MITRE提交补充材料包：
+  - 技术影响矩阵（CVSS 3.1评分表）
+  - 受影响版本精确范围（支付宝10.2.8-10.3.5）
+  - 三家监管机构调查编号引用（CSSFWB-2026-080等）
+  - **优势**：符合CVE分配标准格式要求
+  - **风险**：无
+  - **置信度**：高
+
+**2. Packet Storm搜索优化**
+- 更新Advisory #217089的元数据：
+  - 标题增加"支付宝"中英文关键词（Alipay DeepLink Security）
+  - 在描述前200字符内重复核心CVE编号（待分配）
+  - 添加`alipay://` scheme示例
+  - **优势**：提升关键词匹配度
+  - **风险**：可能被标记为SEO操纵
+  - **置信度**：中
+
+**3. 技术社区同步**
+- 在以下平台发布技术摘要（不包含完整PoC）：
+  - HackerOne Disclosure Timeline格式
+  - Full Disclosure邮件列表（保留原始邮件头）
+  - **优势**：覆盖专业安全研究人员
+  - **风险**：可能引发争议性讨论
+  - **置信度**：中
+
+## 三、公信力建设 (72小时内执行)
+**1. 争议观点透明化**
+- 在博客新增"社区讨论"section，包含：
+  - Issue#6的反对观点摘要（指纹低敏感/GPS需权限）
+  - 技术反驳点（权限绕过时间窗口/设备指纹组合识别）
+  - 引用Android权限模型文档章节[需验证: Android 13权限请求超时机制]
+  - **优势**：展现学术严谨性
+  - **风险**：可能削弱核心论点
+  - **置信度**：高
+
+**2. 监管沟通记录**
+- 新增"监管进展"时间线（不披露非公开内容）：
+  - 仅列出机构名称、查询编号、收到日期
+  - 注明"调查进行中，不预判结论"
+  - **优势**：增加正式性，抑制质疑
+  - **风险**：可能违反机构沟通协议
+  - **置信度**：中
+
+**3. 视频PoC制作**
+- 录制无声音技术演示视频（90秒内）：
+  - 设备信息模糊处理（仅显示相关界面）
+  - 分步骤字幕说明
+  - 上传至YouTube/Vimeo（设置为未列出）
+  - 博客内嵌引用
+  - **优势**：直观证明漏洞存在
+  - **风险**：可能被用于恶意教学
+  - **置信度**：高
+
+## 四、技术SEO优化 (立即执行)
+1. 更新`sitemap.xml`：
+   - `lastmod`设为当前日期（2026-03-15）
+   - 添加新页面URL（复现指南）
+   - 设置优先级（博客首页0.8，技术章节0.6）
+
+2. 结构化数据标记：
+   - 添加`Article` schema（作者、发布日期、修改日期）
+   - 添加`TechArticle`（编程语言、依赖项）
+   - **优势**：提升Google搜索摘要信息量
+   - **风险**：无
+   - **置信度**：高
+
+## 五、执行优先级
+| 任务 | 预计耗时 | 负责人 | 成功指标 |
+|------|----------|--------|----------|
+| CORS修正与sitemap更新 | 2小时 | 技术编辑 | 博客修改时间戳更新 |
+| 复现指南创建 | 6小时 | 研究员 | GitHub无复现失败issue |
+| CVE补充材料提交 | 4小时 | 协调员 | MITRE确认接收邮件 |
+| 视频PoC录制 | 3小时 | 研究员 | 3位外部研究员验证成功 |
+| 社区讨论section | 4小时 | 技术编辑 | Issue#6状态标记为"已回应" |
+
+## 六、风险控制
+1. **法律风险**：所有监管引用需经法律审核（建议咨询香港/欧盟律师）
+2. **技术误报**：所有修正需经双人验证（当前：meooxx + 原始研究员）
+3. **声誉风险**：避免使用"零日"等营销术语，坚持技术描述
+
+**关键路径**：CVE分配 > 技术修正 > 复现指南 > 视频验证  
+**预期效果**：Google搜索"Alipay DeepLink CVE"排名第一页，复现成功率提升至85%以上。