論文の概要: Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields
- arxiv url: http://arxiv.org/abs/2308.16321v1
- Date: Wed, 30 Aug 2023 21:02:48 GMT
- ステータス: 処理完了
- システム内更新日: 2023-09-01 18:29:48.839522
- Title: Exposing and Addressing Security Vulnerabilities in Browser Text Input
Fields
- Title(参考訳): ブラウザテキスト入力フィールドにおけるセキュリティ脆弱性の抽出と対処
- Authors: Asmit Nayak, Rishabh Khandelwal, Kassem Fawaz
- Abstract要約: ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
入力フィールドに2つの脆弱性を発見した。
- 参考スコア(独自算出の注目度): 22.717150034358948
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: In this work, we perform a comprehensive analysis of the security of text
input fields in web browsers. We find that browsers' coarse-grained permission
model violates two security design principles: least privilege and complete
mediation. We further uncover two vulnerabilities in input fields, including
the alarming discovery of passwords in plaintext within the HTML source code of
the web page. To demonstrate the real-world impact of these vulnerabilities, we
design a proof-of-concept extension, leveraging techniques from static and
dynamic code injection attacks to bypass the web store review process. Our
measurements and case studies reveal that these vulnerabilities are prevalent
across various websites, with sensitive user information, such as passwords,
exposed in the HTML source code of even high-traffic sites like Google and
Cloudflare. We find that a significant percentage (12.5\%) of extensions
possess the necessary permissions to exploit these vulnerabilities and identify
190 extensions that directly access password fields. Finally, we propose two
countermeasures to address these risks: a bolt-on JavaScript package for
immediate adoption by website developers allowing them to protect sensitive
input fields, and a browser-level solution that alerts users when an extension
accesses sensitive input fields. Our research highlights the urgent need for
improved security measures to protect sensitive user information online.
- Abstract(参考訳): 本研究では,Webブラウザにおけるテキスト入力フィールドのセキュリティに関する包括的な分析を行う。
ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。
さらに、WebページのHTMLソースコード内で、平文でパスワードを警告するなど、入力フィールドの2つの脆弱性を発見しました。
これらの脆弱性の現実的な影響を示すために、静的および動的コードインジェクション攻撃のテクニックを活用して概念実証拡張を設計し、Webストアレビュープロセスをバイパスする。
当社の測定とケーススタディによると、これらの脆弱性は、パスワードなどの機密性の高いユーザ情報を、GoogleやCloudflareのような高トラフィックサイトのHTMLソースコードに公開して、さまざまなWebサイトに広まっています。
これらの脆弱性を悪用し、パスワードフィールドに直接アクセスする190の拡張機能を識別するために必要な権限を持っていることが判明した。
最後に,これらのリスクに対処するための2つの対策を提案する。webサイト開発者がすぐに利用できるようにするボルトオンjavascriptパッケージと,エクステンションがセンシティブな入力フィールドにアクセスするとユーザに警告するブラウザレベルのソリューション。
本研究は,機密情報をオンラインで保護するためのセキュリティ対策改善の必要性を浮き彫りにしている。
関連論文リスト
- FATH: Authentication-based Test-time Defense against Indirect Prompt Injection Attacks [45.65210717380502]
大規模言語モデル(LLM)は、現実世界のアプリケーションのための追加ツールとテキスト情報を備えたバックボーンとして広くデプロイされている。
プロンプトインジェクション攻撃は特に脅威であり、外部のテキスト情報に悪意のあるインストラクションを注入することで、LLMを利用して攻撃者が望む答えを生成することができる。
本稿では,AuThentication with Hash-based tags (FATH)という新しいテストタイム防衛戦略を紹介する。
論文 参考訳(メタデータ) (2024-10-28T20:02:47Z) - EIA: Environmental Injection Attack on Generalist Web Agents for Privacy Leakage [40.82238259404402]
敵環境におけるジェネラリストWebエージェントのプライバシーリスクに関する最初の研究を行う。
まず,Webサイト上での攻撃に対する現実的な脅威モデルを提示し,ユーザ固有のPIIを盗むか,あるいはユーザ要求全体に対して,敵対的な2つのターゲットを検討する。
我々は、Mind2Webから様々なPIIカテゴリを含む177のアクションステップを収集し、これまでで最も有能なジェネラリストWebエージェントフレームワークの1つを使用して実験を行う。
論文 参考訳(メタデータ) (2024-09-17T15:49:44Z) - Protecting Onion Service Users Against Phishing [1.6435014180036467]
フィッシングサイトは、Torのタマネギサービスに共通する現象である。
フィッシングは 本物の玉ねぎのドメイン名と区別するのが 非常に難しいと フィッシングを悪用する
タマネギサービスのオペレータは、ユーザをフィッシングから守るためのいくつかの戦略を考案した。
訪問したサービスに関する痕跡を発生させることなく、ユーザーをフィッシングから守ることはできない。
論文 参考訳(メタデータ) (2024-08-14T19:51:30Z) - Exploiting Leakage in Password Managers via Injection Attacks [16.120271337898235]
本研究では,パスワードマネージャに対するインジェクション攻撃について検討する。
この設定では、敵は自身のアプリケーションクライアントを制御し、例えば認証情報を共有することで、選択したペイロードを被害者のクライアントに"注入"するために使用する。
論文 参考訳(メタデータ) (2024-08-13T17:45:12Z) - Exploring Vulnerabilities and Protections in Large Language Models: A Survey [1.6179784294541053]
本稿では,Large Language Models (LLMs) のセキュリティ課題について検討する。
Prompt HackingとAdversarial Attacksの2つの主要分野に焦点を当てている。
これらのセキュリティ問題の詳細を明らかにすることで、この調査はレジリエントなAIシステム構築に関する広範な議論に貢献する。
論文 参考訳(メタデータ) (2024-06-01T00:11:09Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - LLMs in Web Development: Evaluating LLM-Generated PHP Code Unveiling Vulnerabilities and Limitations [0.0]
本研究では,大規模言語モデルが生成するWebアプリケーションのセキュリティを評価し,2500 GPT-4生成PHP Webサイトを分析した。
本研究は,GPT-4 生成 PHP コード中の Insecure File Upload,sql Injection, Stored XSS, Reflected XSS の同定に重点を置いている。
BurpのScanによると、サイトの11.56%は、すぐに妥協できる。静的スキャンの結果が加わった26%には、Webインタラクションを通じて悪用できる少なくとも1つの脆弱性があった。
論文 参考訳(メタデータ) (2024-04-21T20:56:02Z) - Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。
本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
論文 参考訳(メタデータ) (2024-02-09T03:21:14Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Detecting Backdoors in Deep Text Classifiers [43.36440869257781]
本稿では,テキスト分類モデルに対するバックドア攻撃を一般化する,最初の堅牢な防御機構を提案する。
我々の技術は、データ中毒や重毒など、最先端のバックドア攻撃に対する防御に極めて正確です。
論文 参考訳(メタデータ) (2022-10-11T07:48:03Z) - Reinforcement Learning on Encrypted Data [58.39270571778521]
本稿では,DQNエージェントが,離散的かつ連続的な状態空間を持つ環境でどのように動作するかを予備的,実験的に検討する。
その結果,非決定論的暗号が存在する場合でも,エージェントは依然として小さな状態空間で学習することができるが,より複雑な環境では性能が低下することがわかった。
論文 参考訳(メタデータ) (2021-09-16T21:59:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。