論文の概要: OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization
- arxiv url: http://arxiv.org/abs/2212.06606v2
- Date: Tue, 27 Feb 2024 21:33:25 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-19 08:01:36.013230
- Title: OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization
- Title(参考訳): OpenAPI Specification Extended Security Scheme:Broken Object Level Authorizationの頻度を下げる方法
- Authors: Rami Haddad, Rim El Malki,
- Abstract要約: API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。
本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: APIs have become the prominent technology of choice for achieving inter-service communications. The growth of API deployments has driven the urgency in addressing its lack of security standards. API Security is a topic for concern given the absence of standardized authorization in the OpenAPI standard, improper authorization opens the possibility for known and unknown vulnerabilities, which in the past years have been exploited by malicious actors resulting in data loss. This paper examines the number one vulnerability in API Security: Broken Object Level Authorization(BOLA), and proposes methods and tools to reduce the prevalence of this vulnerability. BOLA affects various API frameworks, our scope is fixated on the OpenAPI Specification(OAS). The OAS is a standard for describing and implementing APIs; popular OAS Implementations are FastAPI, Connexion (Flask), and many more. These implementations carry the pros and cons that are associated with the OASs knowledge of API properties. The Open API Specifications security properties do not address object authorization and provide no standardized approach to define such object properties. This leaves object-level security at the mercy of developers, which presents an increased risk of unintentionally creating attack vectors. Our aim is to tackle this void by introducing 1) the OAS ESS (OpenAPI Specification Extended Security Scheme) which includes declarative security controls for objects in OAS (design-based approach), and 2) an authorization module that can be imported to API services (Flask/FastAPI) to enforce authorization checks at the object level (development-based approach). When building an API service, a developer can start with the API design (specification) or its code. In both cases, a set of mechanisms are introduced to help developers mitigate and reduce the prevalence of BOLA.
- Abstract(参考訳): APIは、サービス間通信を達成するための重要な技術になっています。
APIデプロイメントの増加により、セキュリティ標準の欠如に対処する緊急性が高まっている。
API Securityは、OpenAPI標準の標準化された認証がないため、不適切な認証は、既知の脆弱性や未知の脆弱性の可能性を開く。
本稿は,API Security: Broken Object Level Authorization (BOLA) における第1の脆弱性について検討し,この脆弱性の頻度を下げるための方法とツールを提案する。
BOLAはさまざまなAPIフレームワークに影響を与えており、私たちのスコープはOpenAPI Specification(OAS)に固定されています。
OASはAPIの記述と実装の標準であり、一般的なOAS実装はFastAPI、Connexion(Flask)などである。
これらの実装には、OASsのAPIプロパティに関する知識に関連する長所と短所がある。
Open API Specificationsのセキュリティプロパティは、オブジェクト認証に対処せず、そのようなオブジェクトプロパティを定義するための標準化されたアプローチを提供しない。
これにより、オブジェクトレベルのセキュリティは開発者の慈悲に委ねられ、意図しない攻撃ベクタ生成のリスクが増大する。
私たちの目標は、この空白に挑戦することです。
1) OAS ESS(OpenAPI Specification Extended Security Scheme)には、OAS(Design-based approach)内のオブジェクトに対する宣言型セキュリティ制御が含まれている。
2) APIサービス(Flask/FastAPI)にインポートして、オブジェクトレベルで認証チェックを実行することができる認証モジュール(開発ベースのアプローチ)。
APIサービスを構築する場合、開発者はAPI設計(仕様)またはそのコードから始めることができる。
どちらの場合も、BOLAの頻度を緩和し、削減するために一連のメカニズムが導入される。
関連論文リスト
- Mining REST APIs for Potential Mass Assignment Vulnerabilities [1.0377683220196872]
我々は、REST API仕様をマイニングする軽量なアプローチを提案し、大量割り当てをしがちな操作と属性を特定します。
100のAPIについて予備調査を行い、25の脆弱性が見つかった。
6つのAPIで9つの真の脆弱な操作を確認した。
論文 参考訳(メタデータ) (2024-05-02T09:19:32Z) - An Investigation into Misuse of Java Security APIs by Large Language Models [9.453671056356837]
本稿では,Java のセキュリティ API ユースケースに対する ChatGPT のコード生成に対する信頼性を体系的に評価する。
タスク毎に30の試行にまたがるコードインスタンスの約70%には、セキュリティAPIの誤用が含まれており、20の異なる誤用タイプが識別されている。
約半数のタスクにおいて、この割合は100%に達し、開発者がセキュリティAPIコードを安全に実装するためにChatGPTに頼るまでには長い道のりがあることを示している。
論文 参考訳(メタデータ) (2024-04-04T22:52:41Z) - Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。
これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。
本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
論文 参考訳(メタデータ) (2023-10-22T00:08:51Z) - Fine-tuning Aligned Language Models Compromises Safety, Even When Users
Do Not Intend To! [88.90694413503614]
LLMの安全性は微調整によって損なわれる可能性がある。
我々は、GPT-3.5の安全ガードレールを10種類の例で微調整することで、脱獄した。
我々は、協調LLMのカスタム微調整のための安全プロトコルの強化に向けたさらなる研究を提唱する。
論文 参考訳(メタデータ) (2023-10-05T17:12:17Z) - Continual Learning From a Stream of APIs [90.41825351073908]
継続学習(CL)は、以前のタスクを忘れずに新しいタスクを学習することを目的としている。
既存のCLメソッドは大量の生データを必要とするが、著作権上の考慮とプライバシー上のリスクのために利用できないことが多い。
本稿では,データ効率CL (DECL-APIs) とデータフリーCL (DFCL-APIs) の2つの実践的yet-novel CL設定について考察する。
論文 参考訳(メタデータ) (2023-08-31T11:16:00Z) - Private-Library-Oriented Code Generation with Large Language Models [52.73999698194344]
本稿では,大規模言語モデル(LLM)をプライベートライブラリのコード生成に活用することに焦点を当てる。
プログラマがプライベートコードを書く過程をエミュレートする新しいフレームワークを提案する。
TorchDataEval、TorchDataComplexEval、MonkeyEval、BeatNumEvalの4つのプライベートライブラリベンチマークを作成しました。
論文 参考訳(メタデータ) (2023-07-28T07:43:13Z) - Detecting Misuses of Security APIs: A Systematic Review [5.329280109719902]
セキュリティAPIの誤使用は、ハッカーが悪用できる脆弱性をもたらす可能性がある。
API設計の複雑さ、不十分なドキュメント、不十分なセキュリティトレーニングは、セキュリティAPIを誤用する理由のひとつだ。
弊社のレビューは、セキュリティAPIの誤用を検出する最先端技術に関するオープンな研究課題を強調している。
論文 参考訳(メタデータ) (2023-06-15T05:53:23Z) - Measuring and Mitigating Constraint Violations of In-Context Learning
for Utterance-to-API Semantic Parsing [15.957744324299869]
本研究では,タスク指向のセマンティック解析における制約違反を計測,解析,緩和する。
SRD(Semantic-Retrieval of Demonstrations)とAPI-Aware Constrained Decoding(API-CD)の2つの緩和戦略について検討する。
実験の結果、これらの戦略は、制約違反の低減と、生成されたAPI呼び出しの品質向上に有効であるが、実装の複雑さとレイテンシを考慮すると、慎重に検討する必要があることがわかった。
論文 参考訳(メタデータ) (2023-05-24T16:50:36Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - REaaS: Enabling Adversarially Robust Downstream Classifiers via Robust
Encoder as a Service [67.0982378001551]
サービスプロバイダがエンコーダを事前トレーニングして、クラウドサービスAPIとしてデプロイする方法を示します。
クライアントはクラウドサービスAPIに問い合わせて、トレーニング/テスト入力のフィーチャーベクタを取得する。
私たちは、クライアントが下流の分類器の堅牢性を証明できるように、クラウドサービスが2つのAPIを提供する必要があることを示しています。
論文 参考訳(メタデータ) (2023-01-07T17:40:11Z) - Simple Transparent Adversarial Examples [65.65977217108659]
本研究は,ロバスト性を評価するための簡易な方法として,秘密の埋め込みと透明な敵の例を紹介した。
その結果、ハイリスクなアプリケーションにAPIが使用されるという深刻な脅威が生じる。
論文 参考訳(メタデータ) (2021-05-20T11:54:26Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。