論文の概要: Systematic Analysis of Security and Vulnerabilities in Miniapps
- arxiv url: http://arxiv.org/abs/2311.11382v1
- Date: Sun, 19 Nov 2023 17:47:26 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 22:53:06.772343
- Title: Systematic Analysis of Security and Vulnerabilities in Miniapps
- Title(参考訳): ミニアプリにおけるセキュリティと脆弱性のシステマティック分析
- Authors: Yuyang Han, Xu Ji, Zhiqiang Wang, Jianyi Zhang,
- Abstract要約: Miniappsはモバイルインターネット分野において非常に重要である。
Miniappsは、センシティブなデータの整合性を損なうことなく、直接的に影響を及ぼすことができる。
本稿では,ミニアプリのセキュリティリスクを軽減するために,ユーザ,サーバ,攻撃者に着目したトリアド脅威モデルを提案する。
- 参考スコア(独自算出の注目度): 12.900904404633957
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The past few years have witnessed a boom of miniapps, as lightweight applications, miniapps are of great importance in the mobile internet sector. Consequently, the security of miniapps can directly impact compromising the integrity of sensitive data, posing a potential threat to user privacy. However, after a thorough review of the various research efforts in miniapp security, we found that their actions in researching the safety of miniapp web interfaces are limited. This paper proposes a triad threat model focusing on users, servers and attackers to mitigate the security risk of miniapps. By following the principle of least privilege and the direction of permission consistency, we design a novel analysis framework for the security risk assessment of miniapps by this model. Then, we analyzed the correlation between the security risk assessment and the threat model associated with the miniapp. This analysis led to identifying potential scopes and categorisations with security risks. In the case study, we identify nine major categories of vulnerability issues, such as SQL injection, logical vulnerabilities and cross-site scripting. We also assessed a total of 50,628 security risk hazards and provided specific examples.
- Abstract(参考訳): 過去数年間、軽量アプリケーションとして、モバイルインターネットセクターではミニアプリがとても重要視されているため、ミニアプリが急増しているのを目撃してきた。
このため、ミニアプリのセキュリティは、機密データの整合性を損なうことに直接影響し、ユーザーのプライバシーを脅かす可能性がある。
しかし,ミニアプリ・セキュリティに関する様々な研究成果を概観した結果,ミニアプリ・ウェブ・インタフェースの安全性に関する研究における彼らの行動は限られていることが判明した。
本稿では,ミニアプリのセキュリティリスクを軽減するために,ユーザ,サーバ,攻撃者に着目したトリアド脅威モデルを提案する。
最小特権の原則と許可の整合性の方向性に従うことにより,このモデルによるミニアプリのセキュリティリスク評価のための新しい分析フレームワークを設計する。
そして,セキュリティリスク評価と,ミニアプリに関連する脅威モデルとの相関関係を解析した。
この分析により、潜在的なスコープを特定し、セキュリティリスクと分類することが可能になる。
ケーススタディでは、SQLインジェクション、論理的脆弱性、クロスサイトスクリプティングなど、9つの主要な脆弱性のカテゴリを特定します。
また,50,628件のセキュリティリスクリスクの評価を行い,具体例を示した。
関連論文リスト
- SafeBench: A Safety Evaluation Framework for Multimodal Large Language Models [75.67623347512368]
MLLMの安全性評価を行うための総合的なフレームワークであるツールンを提案する。
我々のフレームワークは、包括的な有害なクエリデータセットと自動評価プロトコルで構成されています。
本研究では,広く利用されている15のオープンソースMLLMと6つの商用MLLMの大規模実験を行った。
論文 参考訳(メタデータ) (2024-10-24T17:14:40Z) - EAIRiskBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [47.69642609574771]
EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。
高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。
しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。
EAIRiskBenchは、EAIシナリオにおける自動物理的リスクアセスメントのための新しいフレームワークである。
論文 参考訳(メタデータ) (2024-08-08T13:19:37Z) - Cross-Modality Safety Alignment [73.8765529028288]
我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。
この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。
以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
論文 参考訳(メタデータ) (2024-06-21T16:14:15Z) - Towards Deep Learning Enabled Cybersecurity Risk Assessment for Microservice Architectures [3.0936354370614607]
CyberWise Predictorは、マイクロサービスアーキテクチャに関連するセキュリティリスクを予測し、評価するためのフレームワークである。
当社のフレームワークは,新たな脆弱性に対する脆弱性メトリクスの自動予測において,平均92%の精度を実現している。
論文 参考訳(メタデータ) (2024-03-22T12:42:33Z) - Mapping LLM Security Landscapes: A Comprehensive Stakeholder Risk Assessment Proposal [0.0]
本稿では,従来のシステムにおけるリスク評価手法のようなツールを用いたリスク評価プロセスを提案する。
我々は、潜在的な脅威要因を特定し、脆弱性要因に対して依存するシステムコンポーネントをマッピングするためのシナリオ分析を行う。
3つの主要株主グループに対する脅威もマップ化しています。
論文 参考訳(メタデータ) (2024-03-20T05:17:22Z) - A Security Risk Taxonomy for Prompt-Based Interaction With Large Language Models [5.077431021127288]
本稿では,大規模言語モデル(LLM)によるセキュリティリスクに着目し,現在の研究のギャップに対処する。
我々の研究は,ユーザモデル通信パイプラインに沿ったセキュリティリスクの分類を提案し,一般的に使用されている機密性,完全性,可用性(CIA)3つのトライアドと並行して,ターゲットタイプと攻撃タイプによる攻撃を分類する。
論文 参考訳(メタデータ) (2023-11-19T20:22:05Z) - Safety Margins for Reinforcement Learning [53.10194953873209]
安全マージンを生成するためにプロキシ臨界度メトリクスをどのように活用するかを示す。
Atari 環境での APE-X と A3C からの学習方針に対するアプローチを評価する。
論文 参考訳(メタデータ) (2023-07-25T16:49:54Z) - When Authentication Is Not Enough: On the Security of Behavioral-Based Driver Authentication Systems [53.2306792009435]
我々はランダムフォレストとリカレントニューラルネットワークアーキテクチャに基づく2つの軽量ドライバ認証システムを開発した。
我々は,SMARTCANとGANCANという2つの新しいエスケープアタックを開発することで,これらのシステムに対する攻撃を最初に提案する。
コントリビューションを通じて、これらのシステムを安全に採用する実践者を支援し、車の盗難を軽減し、ドライバーのセキュリティを高める。
論文 参考訳(メタデータ) (2023-06-09T14:33:26Z) - Do Software Security Practices Yield Fewer Vulnerabilities? [6.6840472845873276]
本研究の目的は、専門家や研究者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。
4つのセキュリティプラクティスが、脆弱性数に影響を与える最も重要なプラクティスでした。
パッケージの総セキュリティスコアが増加するにつれて、報告された脆弱性の数は減少した。
論文 参考訳(メタデータ) (2022-10-20T20:04:02Z) - Automated Security Assessment for the Internet of Things [6.690766107366799]
我々はIoTネットワークの自動セキュリティアセスメントフレームワークを提案する。
我々のフレームワークは、まず機械学習と自然言語処理を利用して脆弱性記述を分析する。
このセキュリティモデルは、潜在的な攻撃経路をキャプチャすることで、IoTネットワークのセキュリティを自動的に評価する。
論文 参考訳(メタデータ) (2021-09-09T04:42:24Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。