論文の概要: Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields
- arxiv url: http://arxiv.org/abs/2308.16321v1
- Date: Wed, 30 Aug 2023 21:02:48 GMT
- ステータス: 処理完了
- システム内更新日: 2023-09-01 18:29:48.839522
- Title: Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields
- Title(参考訳): ブラウザテキスト入力フィールドにおけるセキュリティ脆弱性の抽出と対処
- Authors: Asmit Nayak, Rishabh Khandelwal, Kassem Fawaz
- Abstract要約: ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
入力フィールドに2つの脆弱性を発見した。
- 参考スコア(独自算出の注目度): 22.717150034358948
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: In this work, we perform a comprehensive analysis of the security of text
input fields in web browsers. We find that browsers' coarse-grained permission
model violates two security design principles: least privilege and complete
mediation. We further uncover two vulnerabilities in input fields, including
the alarming discovery of passwords in plaintext within the HTML source code of
the web page. To demonstrate the real-world impact of these vulnerabilities, we
design a proof-of-concept extension, leveraging techniques from static and
dynamic code injection attacks to bypass the web store review process. Our
measurements and case studies reveal that these vulnerabilities are prevalent
across various websites, with sensitive user information, such as passwords,
exposed in the HTML source code of even high-traffic sites like Google and
Cloudflare. We find that a significant percentage (12.5\%) of extensions
possess the necessary permissions to exploit these vulnerabilities and identify
190 extensions that directly access password fields. Finally, we propose two
countermeasures to address these risks: a bolt-on JavaScript package for
immediate adoption by website developers allowing them to protect sensitive
input fields, and a browser-level solution that alerts users when an extension
accesses sensitive input fields. Our research highlights the urgent need for
improved security measures to protect sensitive user information online.
- Abstract(参考訳): 本研究では,Webブラウザにおけるテキスト入力フィールドのセキュリティに関する包括的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
さらに、WebページのHTMLソースコード内で、平文でパスワードを警告するなど、入力フィールドの2つの脆弱性を発見しました。
これらの脆弱性の現実的な影響を示すために、静的および動的コードインジェクション攻撃のテクニックを活用して概念実証拡張を設計し、Webストアレビュープロセスをバイパスする。
当社の測定とケーススタディによると、これらの脆弱性は、パスワードなどの機密性の高いユーザ情報を、GoogleやCloudflareのような高トラフィックサイトのHTMLソースコードに公開して、さまざまなWebサイトに広まっています。
これらの脆弱性を悪用し、パスワードフィールドに直接アクセスする190の拡張機能を識別するために必要な権限を持っていることが判明した。
最後に,これらのリスクに対処するための2つの対策を提案する。webサイト開発者がすぐに利用できるようにするボルトオンjavascriptパッケージと,エクステンションがセンシティブな入力フィールドにアクセスするとユーザに警告するブラウザレベルのソリューション。
本研究は,機密情報をオンラインで保護するためのセキュリティ対策改善の必要性を浮き彫りにしている。
関連論文リスト
- LLMs in Web-Development: Evaluating LLM-Generated PHP code unveiling vulnerabilities and limitations [0.0]
本研究は,大規模言語モデルにより生成されたWebアプリケーションのコードセキュリティを網羅的に検証する。
ウェブサイトの評価は、Burp Suiteのアクティブスキャナー、静的解析、手動チェックを組み込んだハイブリッド手法を用いて行われた。
GPT-4で生成されたプログラムの27%がPHPコードに脆弱性が含まれていることが確認された。
論文 参考訳(メタデータ) (2024-04-21T20:56:02Z) - Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。
本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
論文 参考訳(メタデータ) (2024-02-09T03:21:14Z) - Causative Insights into Open Source Software Security using Large
Language Code Embeddings and Semantic Vulnerability Graph [3.623199159688412]
オープンソースソフトウェア(OSS)の脆弱性は、不正アクセス、データ漏洩、ネットワーク障害、プライバシー侵害を引き起こす可能性がある。
最近のディープラーニング技術は、ソースコードの脆弱性を特定し、ローカライズする上で大きな可能性を示しています。
本研究は,従来の方法に比べてコード修復能力が24%向上したことを示す。
論文 参考訳(メタデータ) (2024-01-13T10:33:22Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Attack Techniques and Threat Identification for Vulnerabilities [1.1689657956099035]
優先順位付けと集中は、最高のリスク脆弱性に限られた時間を費やすことが重要になります。
この研究では、機械学習と自然言語処理技術、およびいくつかの公開データセットを使用します。
まず、脆弱性を一般的な弱点の標準セットにマッピングし、次に一般的な弱点を攻撃テクニックにマップします。
このアプローチは平均相反ランク(MRR)が0.95であり、最先端システムで報告されているものと同等の精度である。
論文 参考訳(メタデータ) (2022-06-22T15:27:49Z) - Reinforcement Learning on Encrypted Data [58.39270571778521]
本稿では,DQNエージェントが,離散的かつ連続的な状態空間を持つ環境でどのように動作するかを予備的,実験的に検討する。
その結果,非決定論的暗号が存在する場合でも,エージェントは依然として小さな状態空間で学習することができるが,より複雑な環境では性能が低下することがわかった。
論文 参考訳(メタデータ) (2021-09-16T21:59:37Z) - OntoEnricher: A Deep Learning Approach for Ontology Enrichment from
Unstructured Text [2.707154152696381]
Web上で利用可能な脆弱性、コントロール、アドバイザリに関する既存の情報は、知識を表現し、関心事の一部を緩和するために分析を行う機会を提供する。
これは情報セキュリティの動的かつ自動化された強化を必要とする。
自然言語処理とMLモデルに基づく既存のオントロジーエンリッチメントアルゴリズムは、単語、フレーズ、文における概念の文脈的抽出に問題がある。
論文 参考訳(メタデータ) (2021-02-08T09:43:05Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Adversarial Watermarking Transformer: Towards Tracing Text Provenance
with Data Hiding [80.3811072650087]
自然言語の透かしを防御として研究し,テキストの出所の発見と追跡に役立てる。
本稿では,適応型透かし変換器(AWT)とエンコーダ・デコーダ・デコーダを併用した対向型透かし変換器(AWT)について述べる。
AWTは、テキストにデータを隠蔽する最初のエンドツーエンドモデルである。
論文 参考訳(メタデータ) (2020-09-07T11:01:24Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z) - Adversarial Machine Learning Attacks and Defense Methods in the Cyber
Security Domain [58.30296637276011]
本稿では,機械学習技術に基づくセキュリティソリューションに対する敵攻撃に関する最新の研究を要約する。
サイバーセキュリティドメインでエンドツーエンドの敵攻撃を実装するという、ユニークな課題を議論するのは、これが初めてである。
論文 参考訳(メタデータ) (2020-07-05T18:22:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。