論文の概要: Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach

• arxiv url: http://arxiv.org/abs/2310.14137v1
• Date: Sun, 22 Oct 2023 00:08:51 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 14:05:29.120904
• Title: Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach
• Title（参考訳）: モバイルアプリケーションAPIにおける脆弱性発見 - モジュール型プログラムアプローチ
• Authors: Nate Haris, Kendree Chen, Ann Song, Benjamin Pou,
• Abstract要約: アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Currently, Application Programming Interfaces (APIs) are becoming increasingly popular to facilitate data transfer in a variety of mobile applications. These APIs often process sensitive user information through their endpoints, which are potentially exploitable due to developer misimplementation. In this paper, a custom, modular endpoint vulnerability detection tool was created and implemented to present current statistics on the degree of information leakage in various mobile Android applications. Our endpoint vulnerability detection tool provided an automated approach to API testing, programmatically modifying requests multiple times using specific information attack methods (IAMs) and heuristically analyzing responses for potentially vulnerable endpoints (PVEs). After analysis of API requests in an encompassing range of applications, findings showed that easily exploitable Broken Access Control (BAC) vulnerabilities of varying severity were common in over 50% of applications. These vulnerabilities ranged from small data leakages due to unintended API use, to full disclosure of sensitive user data, including passwords, names, addresses, and SSNs. This investigation aims to demonstrate the necessity of complete API endpoint security within Android applications, as well as provide an open source example of a modular program which developers could use to test for endpoint vulnerabilities.
• Abstract（参考訳）: 現在、様々なモバイルアプリケーションでデータ転送を容易にするために、アプリケーションプログラミングインタフェース(API)がますます人気を集めています。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションにおける情報漏洩の度合いに関する統計情報を提供するために,カスタムなモジュール型エンドポイント脆弱性検出ツールを作成し,実装した。 エンドポイントの脆弱性検出ツールは、APIテストの自動アプローチを提供し、特定の情報攻撃方法(IAM)を使用して複数のリクエストをプログラム的に修正し、潜在的に脆弱なエンドポイント(PVE)に対する応答をヒューリスティックに分析する。 さまざまなアプリケーションでAPI要求を分析した結果、さまざまな重大性のBroken Access Control(BAC)脆弱性が、50%以上のアプリケーションで一般的であることが判明した。 これらの脆弱性は、意図しないAPI使用による小さなデータ漏洩から、パスワード、名前、アドレス、SSNを含むセンシティブなユーザデータの完全な開示まで様々である。 この調査は、Androidアプリケーションにおける完全なAPIエンドポイントセキュリティの必要性の実証と、開発者がエンドポイント脆弱性をテストするために使用できるモジュールプログラムのオープンソース例の提供を目的としている。

関連論文リスト

• CryptoFormalEval: Integrating LLMs and Formal Verification for Automated Cryptographic Protocol Vulnerability Detection [41.94295877935867]
  我々は,新たな暗号プロトコルの脆弱性を自律的に識別する大規模言語モデルの能力を評価するためのベンチマークを導入する。 私たちは、新しい、欠陥のある通信プロトコルのデータセットを作成し、AIエージェントが発見した脆弱性を自動的に検証する方法を設計しました。
  論文  参考訳（メタデータ） (2024-11-20T14:16:55Z)
• AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
  LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。 以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
  論文  参考訳（メタデータ） (2024-11-02T13:24:30Z)
• Enabling Communication via APIs for Mainframe Applications [4.872049174955585]
  レガシーなメインフレームアプリケーションのためのAPIを作成するための新しいフレームワークを提案する。 このアプローチでは、トランザクション、スクリーン、制御フローブロック、マイクロサービス間コール、ビジネスルール、データアクセスなどのアーティファクトをコンパイルすることで、APIを識別します。 ライブやリーチ定義のような静的解析を使ってコードをトラバースし、APIシグネチャを自動的に計算します。
  論文  参考訳（メタデータ） (2024-08-08T05:35:36Z)
• PriRoAgg: Achieving Robust Model Aggregation with Minimum Privacy Leakage for Federated Learning [49.916365792036636]
  フェデレートラーニング(FL)は、大規模分散ユーザデータを活用する可能性から、最近大きな勢いを増している。 送信されたモデル更新は、センシティブなユーザ情報をリークする可能性があり、ローカルなトレーニングプロセスの集中的な制御の欠如は、モデル更新に対する悪意のある操作の影響を受けやすいグローバルモデルを残します。 我々は、Lagrange符号化計算と分散ゼロ知識証明を利用した汎用フレームワークPriRoAggを開発し、集約されたプライバシを満たすとともに、幅広いロバストな集約アルゴリズムを実行する。
  論文  参考訳（メタデータ） (2024-07-12T03:18:08Z)
• A Classification-by-Retrieval Framework for Few-Shot Anomaly Detection to Detect API Injection Attacks [9.693391036125908]
  本稿では,2つの主要部品からなる非教師なし数発の異常検出フレームワークを提案する。 まず、FastTextの埋め込みに基づいたAPI専用の汎用言語モデルをトレーニングする。 次に,近似Nearest Neighborサーチを分類・検索手法として用いた。
  論文  参考訳（メタデータ） (2024-05-18T10:15:31Z)
• An Investigation into Misuse of Java Security APIs by Large Language Models [9.453671056356837]
  本稿では,Java のセキュリティ API ユースケースに対する ChatGPT のコード生成に対する信頼性を体系的に評価する。 タスク毎に30の試行にまたがるコードインスタンスの約70%には、セキュリティAPIの誤用が含まれており、20の異なる誤用タイプが識別されている。 約半数のタスクにおいて、この割合は100%に達し、開発者がセキュリティAPIコードを安全に実装するためにChatGPTに頼るまでには長い道のりがあることを示している。
  論文  参考訳（メタデータ） (2024-04-04T22:52:41Z)
• Prompt Engineering-assisted Malware Dynamic Analysis Using GPT-4 [45.935748395725206]
  GPT-4を用いた即時エンジニアリング支援型マルウェア動的解析手法を提案する。 この方法では、APIシーケンス内の各API呼び出しに対する説明テキストを作成するために、GPT-4が使用される。 BERTはテキストの表現を得るために使われ、そこからAPIシーケンスの表現を導出します。
  論文  参考訳（メタデータ） (2023-12-13T17:39:44Z)
• DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
  ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。 DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。 DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
  論文  参考訳（メタデータ） (2023-07-04T01:34:41Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
  API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。 本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
  論文  参考訳（メタデータ） (2022-12-13T14:28:06Z)
• mPSAuth: Privacy-Preserving and Scalable Authentication for Mobile Web Applications [0.0]
  mPSAuthは、ユーザの振る舞いを反映したさまざまなデータソースを継続的に追跡し、現在のユーザが正当である可能性を推定するアプローチである。 我々はmPSAuthが暗号化と通信のオーバーヘッドを低く抑えながら高い精度を提供できることを示した。
  論文  参考訳（メタデータ） (2022-10-07T12:49:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。