論文の概要: Montage: A Neural Network Language Model-Guided JavaScript Engine Fuzzer
- arxiv url: http://arxiv.org/abs/2001.04107v2
- Date: Tue, 14 Jan 2020 08:28:37 GMT
- ステータス: 処理完了
- システム内更新日: 2023-01-11 23:51:05.519609
- Title: Montage: A Neural Network Language Model-Guided JavaScript Engine Fuzzer
- Title(参考訳): Montage: ニューラルネットワーク言語モデルによるJavaScriptエンジンファズー
- Authors: Suyoung Lee, HyungSeok Han, Sang Kil Cha, Sooel Son
- Abstract要約: 私たちは、JSエンジンの脆弱性を見つけるための最初のNNLM誘導ファザであるMontageを紹介します。
Montage氏は最新のJSエンジンで3つのCVEを含む37の現実世界のバグを発見した。
- 参考スコア(独自算出の注目度): 18.908548472588976
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: JavaScript (JS) engine vulnerabilities pose significant security threats
affecting billions of web browsers. While fuzzing is a prevalent technique for
finding such vulnerabilities, there have been few studies that leverage the
recent advances in neural network language models (NNLMs). In this paper, we
present Montage, the first NNLM-guided fuzzer for finding JS engine
vulnerabilities. The key aspect of our technique is to transform a JS abstract
syntax tree (AST) into a sequence of AST subtrees that can directly train
prevailing NNLMs. We demonstrate that Montage is capable of generating valid JS
tests, and show that it outperforms previous studies in terms of finding
vulnerabilities. Montage found 37 real-world bugs, including three CVEs, in the
latest JS engines, demonstrating its efficacy in finding JS engine bugs.
- Abstract(参考訳): JavaScript(JS)エンジンの脆弱性は、数十億のWebブラウザに重大なセキュリティ脅威をもたらす。
ファジングはそのような脆弱性を見つけるための一般的なテクニックであるが、ニューラルネットワーク言語モデル(nnlms)の最近の進歩を利用する研究は少ない。
本稿では,JS エンジンの脆弱性を発見するための NNLM 誘導ファザである Montage を紹介する。
我々の技術の重要な側面は、JS抽象構文木(AST)を、一般的なNNLMを直接トレーニングできるASTサブツリーのシーケンスに変換することである。
montageが有効なjsテストを生成することができることを実証し、脆弱性発見の観点で以前の研究よりも優れていることを示す。
montage氏は最新のjsエンジンで3つのcveを含む37の現実世界のバグを発見し、jsエンジンのバグ発見の有効性を示した。
関連論文リスト
- Mutation-Based Deep Learning Framework Testing Method in JavaScript Environment [16.67312523556796]
そこで本研究では,DLJSFuzzerという変異ベースのJavaScript DLフレームワークテスティング手法を提案する。
DLJSFuzzerは21のユニークなクラッシュと126のNaN & Inconsistencyバグを正常に検出する。
DLJSFuzzerはモデル生成効率が47%以上、バグ検出効率が91%以上改善されている。
論文 参考訳(メタデータ) (2024-09-23T12:37:56Z) - GHunter: Universal Prototype Pollution Gadgets in JavaScript Runtimes [5.852467142337343]
プロトタイプ汚染は、JavaScriptコードに影響を与える最近の脆弱性である。
これはJavaScriptのプロトタイプベースの継承をルーツとしており、攻撃者は実行時にオブジェクトのプロトタイプに任意のプロパティを注入することができる。
V8ベースのJavaScriptランタイムにおけるガジェットの研究は、Node.jsとDenoに重点を置いている。
論文 参考訳(メタデータ) (2024-07-15T15:30:00Z) - Stealth edits to large language models [76.53356051271014]
モデルの編集可能性を評価するために、1つのメトリックを使用できることを示す。
また、ステルス攻撃に対する言語モデルの脆弱性を明らかにします。
論文 参考訳(メタデータ) (2024-06-18T14:43:18Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - A Study of Vulnerability Repair in JavaScript Programs with Large Language Models [2.4622939109173885]
大規模言語モデル(LLM)は、複数のドメインにまたがる大幅な進歩を示している。
実世界のソフトウェア脆弱性に関する我々の実験によると、LLMはJavaScriptコードの自動プログラム修復において有望であるが、正しいバグ修正を達成するには、しばしばプロンプトで適切なコンテキストを必要とする。
論文 参考訳(メタデータ) (2024-03-19T23:04:03Z) - CovRL: Fuzzing JavaScript Engines with Coverage-Guided Reinforcement
Learning for LLM-based Mutation [2.5864634852960444]
本稿では,大規模言語モデル(LLM)とカバレッジフィードバックからの強化学習を組み合わせた,CovRL(Coverage-guided Reinforcement Learning)と呼ばれる新しい手法を提案する。
CovRL-Fuzzは、39の既知の脆弱性と11のCVEを含む、最新のJavaScriptエンジンにおける48の実際のセキュリティ関連バグを特定している。
論文 参考訳(メタデータ) (2024-02-19T15:30:40Z) - SoK: Analysis techniques for WebAssembly [0.0]
WebAssemblyは低レベルのバイトコード言語で、C、C++、Rustといった言語をネイティブに近いパフォーマンスでブラウザで実行できる。
CやC++のようなメモリ不安全な言語の脆弱性は、WebAssemblyバイナリの脆弱性に変換できる。
WebAssemblyは暗号鍵のような悪意ある目的で使われてきた。
論文 参考訳(メタデータ) (2024-01-11T14:28:13Z) - Static Semantics Reconstruction for Enhancing JavaScript-WebAssembly Multilingual Malware Detection [51.15122099046214]
WebAssemblyを使うと、攻撃者は言語間の相互運用でJavaScriptマルウェアの悪意のある機能を隠せる。
JavaScriptとWebAssembly間の複雑な相互運用とセマンティックな多様性のため、JavaScript-WebAssemblyマルチ言語マルウェア(JWMM)の検出は難しい。
本稿では,JWMMの静的検出を高速化する最初の手法であるJWBinderを紹介する。
論文 参考訳(メタデータ) (2023-10-26T10:59:45Z) - Backdoor Attack with Sparse and Invisible Trigger [57.41876708712008]
ディープニューラルネットワーク(DNN)は、バックドア攻撃に対して脆弱である。
バックドアアタックは、訓練段階の脅威を脅かしている。
軽度で目に見えないバックドアアタック(SIBA)を提案する。
論文 参考訳(メタデータ) (2023-05-11T10:05:57Z) - Trojaning Language Models for Fun and Profit [53.45727748224679]
TROJAN-LMは、悪質に製作されたLMがホストNLPシステムを故障させる新しいタイプのトロイの木馬攻撃である。
セキュリティクリティカルなNLPタスクにおいて、3つの最先端のLMを実証的に研究することにより、TROJAN-LMが以下の特性を持つことを示す。
論文 参考訳(メタデータ) (2020-08-01T18:22:38Z) - Adversarial Attacks and Defenses on Graphs: A Review, A Tool and
Empirical Studies [73.39668293190019]
敵攻撃は入力に対する小さな摂動によって容易に騙される。
グラフニューラルネットワーク(GNN)がこの脆弱性を継承することを実証している。
本調査では,既存の攻撃と防御を分類し,対応する最先端の手法を概観する。
論文 参考訳(メタデータ) (2020-03-02T04:32:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。