論文の概要: Hyperfuzzing: black-box security hypertesting with a grey-box fuzzer

• arxiv url: http://arxiv.org/abs/2308.09081v1
• Date: Thu, 17 Aug 2023 16:15:02 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 13:51:51.601916
• Title: Hyperfuzzing: black-box security hypertesting with a grey-box fuzzer
• Title（参考訳）: ハイパーファジング:グレイボックスファジングによるブラックボックスセキュリティハイパーテスト
• Authors: Daniel Blackwell, Ingolf Becker, David Clark
• Abstract要約: LeakFuzzerは、非干渉セキュリティプロパティとセキュリティフローポリシーを神託として使用することで、技術の状態を前進させる。 LeakFuzzerは、通常のファジィザが検出できるのと同じエラーセットを検出し、セキュアな情報フローポリシー違反を検出することができる。
• 参考スコア（独自算出の注目度）: 2.2000560351723504
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Information leakage is a class of error that can lead to severe consequences. However unlike other errors, it is rarely explicitly considered during the software testing process. LeakFuzzer advances the state of the art by using a noninterference security property together with a security flow policy as an oracle. As the tool extends the state of the art fuzzer, AFL++, LeakFuzzer inherits the advantages of AFL++ such as scalability, automated input generation, high coverage and low developer intervention. The tool can detect the same set of errors that a normal fuzzer can detect, with the addition of being able to detect violations of secure information flow policies. We evaluated LeakFuzzer on a diverse set of 10 C and C++ benchmarks containing known information leaks, ranging in size from just 80 to over 900k lines of code. Seven of these are taken from real-world CVEs including Heartbleed and a recent error in PostgreSQL. Given 20 24-hour runs, LeakFuzzer can find 100% of the leaks in the SUTs whereas existing techniques using such as the CBMC model checker and AFL++ augmented with different sanitizers can only find 40% at best.
• Abstract（参考訳）: 情報漏洩は重大な結果をもたらす可能性のあるエラーのクラスである。 しかし、他のエラーとは異なり、ソフトウェアテストプロセス中に明示的に考慮されることは滅多にない。 LeakFuzzerは、非干渉セキュリティプロパティとセキュリティフローポリシーを神託として使用することで、技術の状態を前進させる。 ツールがアートファズー、AFL++の状態を拡大するにつれて、LeakFuzzerはスケーラビリティ、自動入力生成、高カバレッジ、開発者の介入の少ないAFL++の利点を継承する。 このツールは、通常のファジィザが検出できるのと同じエラーセットを検出し、セキュアな情報フローポリシー違反を検出することができる。 我々は、80行から9万行以上のコードまで、既知の情報リークを含む10のcおよびc++ベンチマークで、 leakfuzzerを評価した。 これらのうち7つは、HeartbleedやPostgreSQLの最近のエラーなど、現実世界のCVEから取り出されている。 20時間実行すると、LeakFuzzerはSUTのリークの100%を見つけることができるが、CBMCモデルチェッカーや異なるサニタイザを備えたAFL++などの既存のテクニックは40%しか見つからない。

関連論文リスト

• Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
  OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。 セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
  論文  参考訳（メタデータ） (2024-11-03T16:20:32Z)
• Pipe-Cleaner: Flexible Fuzzing Using Security Policies [0.07499722271664144]
  Pipe-CleanerはCコードの脆弱性を検出し解析するシステムである。 これは、タグベースのランタイムリファレンスモニターによって強制されるフレキシブルな開発者設計のセキュリティポリシーに基づいている。 いくつかのヒープ関連のセキュリティ脆弱性に対して、このアプローチの可能性を実証する。
  論文  参考訳（メタデータ） (2024-10-31T23:35:22Z)
• FuzzTheREST: An Intelligent Automated Black-box RESTful API Fuzzer [0.0]
  この作業では、脆弱性検出にReinforcement Learning(RL)を使用しているファジィテストツールのブラックボックスAPIを導入している。 このツールは6つのユニークな脆弱性を発見し、55%のコードカバレッジを達成した。
  論文  参考訳（メタデータ） (2024-07-19T14:43:35Z)
• WildTeaming at Scale: From In-the-Wild Jailbreaks to (Adversarially) Safer Language Models [66.34505141027624]
  我々は、WildTeamingを紹介した。これは自動LLM安全リチームフレームワークで、Wild-Chatbotインタラクションをマイニングし、新しいジェイルブレイク戦術の5.7Kのユニークなクラスタを発見する。 WildTeamingは、未確認のフロンティアLSMの脆弱性を明らかにし、最大4.6倍の多様性と敵の攻撃に成功した。
  論文  参考訳（メタデータ） (2024-06-26T17:31:22Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• Beyond Random Inputs: A Novel ML-Based Hardware Fuzzing [16.22481369547266]
  ハードウェアファジィングは、現代のプロセッサのような大規模設計におけるセキュリティ脆弱性の探索と検出に有効なアプローチである。 この課題に対処するために,MLベースのハードウェアファザであるChatFuzzを提案する。 ChatFuzzは、最先端のファズーと比較して、わずか52分で75%の条件カバレッジ率を達成する。
  論文  参考訳（メタデータ） (2024-04-10T09:28:54Z)
• JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
  ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。 これらの攻撃を評価することは、現在のベンチマークと評価テクニックの収集が適切に対処していない、多くの課題を提示します。 JailbreakBenchは、以下のコンポーネントを備えたオープンソースのベンチマークである。
  論文  参考訳（メタデータ） (2024-03-28T02:44:02Z)
• Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
  本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。 既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。 本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
  論文  参考訳（メタデータ） (2023-10-08T10:08:21Z)
• EDEFuzz: A Web API Fuzzer for Excessive Data Exposures [3.5061201620029885]
  Excessive Data Exposure(EDE)は2019年で3番目に重大なAPI脆弱性である。 このような問題を効果的に発見し、修正する自動化ツールが、研究や業界でもほとんどありません。 EDEFuzzと呼ばれる最初のファジィツールを構築し、EDEを体系的に検出します。
  論文  参考訳（メタデータ） (2023-01-23T04:05:08Z)
• Fault-Aware Neural Code Rankers [64.41888054066861]
  サンプルプログラムの正しさを予測できる故障認識型ニューラルネットワークローダを提案する。 我々のフォールト・アウェア・ローダは、様々なコード生成モデルのpass@1精度を大幅に向上させることができる。
  論文  参考訳（メタデータ） (2022-06-04T22:01:05Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。