論文の概要: Comparing Effectiveness and Efficiency of Interactive Application
Security Testing (IAST) and Runtime Application Self-Protection (RASP) Tools
in a Large Java-based System
- arxiv url: http://arxiv.org/abs/2312.17726v1
- Date: Fri, 29 Dec 2023 18:26:05 GMT
- ステータス: 処理完了
- システム内更新日: 2024-01-02 08:53:11.525757
- Title: Comparing Effectiveness and Efficiency of Interactive Application
Security Testing (IAST) and Runtime Application Self-Protection (RASP) Tools
in a Large Java-based System
- Title(参考訳): 大規模javaシステムにおけるiast(interactive application security testing)とrasp(runtime application self-protection)ツールの有効性と効率の比較
- Authors: Aishwarya Seth, Saikath Bhattacharya, Sarah Elder, Nusrat Zahan,
Laurie Williams
- Abstract要約: 新たな2つのツールタイプであるInteractive Application Security Testing (IAST)とApplication Self-Protection (RASP)は、十分に評価されていない。
オープンソースJavaベースのオンラインアプリケーションであるOpenMRSにIASTとRASPを適用します。
検出された脆弱性の数とタイプによって効率と有効性を測定し、1時間あたりの検知および防止を行う。
- 参考スコア(独自算出の注目度): 7.255981297835062
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Security resources are scarce, and practitioners need guidance in the
effective and efficient usage of techniques and tools available in the
cybersecurity industry. Two emerging tool types, Interactive Application
Security Testing (IAST) and Runtime Application Self-Protection (RASP), have
not been thoroughly evaluated against well-established counterparts such as
Dynamic Application Security Testing (DAST) and Static Application Security
Testing (SAST). The goal of this research is to aid practitioners in making
informed choices about the use of Interactive Application Security Testing
(IAST) and Runtime Application Self-Protection (RASP) tools through an analysis
of their effectiveness and efficiency in comparison with different
vulnerability detection and prevention techniques and tools. We apply IAST and
RASP on OpenMRS, an open-source Java-based online application. We compare the
efficiency and effectiveness of IAST and RASP with techniques applied on
OpenMRS in prior work. We measure efficiency and effectiveness in terms of the
number and type of vulnerabilities detected and prevented per hour. Our study
shows IAST performed relatively well compared to other techniques, performing
second-best in both efficiency and effectiveness. IAST detected eight Top-10
OWASP security risks compared to nine by SMPT and seven for EMPT, DAST, and
SAST. IAST found more vulnerabilities than SMPT. The efficiency of IAST (2.14
VpH) is second to only EMPT (2.22 VpH). These findings imply that our study
benefited from using IAST when conducting black-box security testing. In the
context of a large, enterprise-scale web application such as OpenMRS, RASP does
not replace vulnerability detection, while IAST is a powerful tool that
complements other techniques.
- Abstract(参考訳): セキュリティリソースは乏しく、実践者はサイバーセキュリティ業界で利用可能な技術やツールを効果的かつ効率的に利用するためのガイダンスが必要である。
新たな2つのツールタイプであるInteractive Application Security Testing (IAST) とRuntime Application Self-Protection (RASP) は、Dynamic Application Security Testing (DAST) や Static Application Security Testing (SAST) といった確立したツールに対して、十分に評価されていない。
本研究の目的は、さまざまな脆弱性検出・防止技術やツールと比較して、その有効性と効率の分析を通じて、対話型アプリケーションセキュリティテスト(IAST)と実行時アプリケーションセルフプロテクション(RASP)ツールの使用について、実践者がより深い選択をするのを支援することである。
オープンソースJavaベースのオンラインアプリケーションであるOpenMRSにIASTとRASPを適用します。
iastとraspの効率性と有効性について,先行研究におけるopenmrsに適用した手法と比較した。
検出された脆弱性の数とタイプによって効率と有効性を測定する。
本研究は,IASTが他の技術と比較して比較的優れており,効率と有効性の両方において第2位であることを示す。
IASTは8つのTop-10OWASPセキュリティリスクをSMPTで9つ、EMPT、DAST、SASTで7つ検出した。
IASTはSMPTよりも多くの脆弱性を発見した。
IAST (2.14 VpH) の効率はEMPT (2.22 VpH) に次いで第2位である。
これらの結果から,ブラックボックスセキュリティテストを行う際のIASTの有用性が示唆された。
OpenMRSのような大規模でエンタープライズ規模のWebアプリケーションのコンテキストでは、RASPは脆弱性検出を置き換えるものではなく、IASTは他のテクニックを補完する強力なツールである。
関連論文リスト
- MELON: Indirect Prompt Injection Defense via Masked Re-execution and Tool Comparison [60.30753230776882]
LLMエージェントは間接的プロンプトインジェクション(IPI)攻撃に対して脆弱である。
我々は新しいIPI防御であるMELONを提示する。
MELONは攻撃防止と実用保存の両方においてSOTA防御に優れていた。
論文 参考訳(メタデータ) (2025-02-07T18:57:49Z) - Security Testing Framework for Web Applications: Benchmarking ZAP V2.12.0 and V2.13.0 by OWASP as an example [0.7249731529275341]
この研究は、主要なオープンソースのWebアプリケーション脆弱性スキャナであるZAPとBenchmarkプロジェクトを比較した。
この研究手法は ZAP の v2.12.0 と v2.13.0 を用いて Benchmark の系統的なスキャンを行う。
このベンチマークで得られた結果は、ツールの各バージョンの長所と短所に関する貴重な洞察を提供する。
論文 参考訳(メタデータ) (2025-01-10T12:07:18Z) - AutoPT: How Far Are We from the End2End Automated Web Penetration Testing? [54.65079443902714]
LLMによって駆動されるPSMの原理に基づく自動浸透試験エージェントであるAutoPTを紹介する。
以上の結果から, AutoPT は GPT-4o ミニモデル上でのベースラインフレームワーク ReAct よりも優れていた。
論文 参考訳(メタデータ) (2024-11-02T13:24:30Z) - CIPHER: Cybersecurity Intelligent Penetration-testing Helper for Ethical Researcher [1.6652242654250329]
本研究は,Cybersecurity Intelligent Peretration-testing Helper for Ethical researchers (CIPHER)を開発した。
私たちは、脆弱なマシンの300以上の高品質な書き込み、ハッキングテクニック、オープンソースの侵入テストツールのドキュメントを使用してCIPHERをトレーニングしました。
本研究では,完全自動ペンテスティング・シミュレーション・ベンチマークを確立するために,書込みテストの拡張手法であるFinderings, Action, Reasoning, Results (FARR) Flow Augmentationを紹介する。
論文 参考訳(メタデータ) (2024-08-21T14:24:04Z) - Comparison of Static Application Security Testing Tools and Large Language Models for Repo-level Vulnerability Detection [11.13802281700894]
静的アプリケーションセキュリティテスト(SAST)は通常、セキュリティ脆弱性のソースコードをスキャンするために使用される。
ディープラーニング(DL)ベースの手法は、ソフトウェア脆弱性検出の可能性を実証している。
本稿では,ソフトウェア脆弱性を検出するために,15種類のSASTツールと12種類の最先端のオープンソースLLMを比較した。
論文 参考訳(メタデータ) (2024-07-23T07:21:14Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Active Test-Time Adaptation: Theoretical Analyses and An Algorithm [51.84691955495693]
テスト時間適応(TTA)は、教師なし設定でストリーミングテストデータの分散シフトに対処する。
完全TTA設定内に能動学習を統合する能動テスト時間適応(ATTA)の新たな問題設定を提案する。
論文 参考訳(メタデータ) (2024-04-07T22:31:34Z) - Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。
我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。
ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
論文 参考訳(メタデータ) (2023-12-21T01:08:39Z) - A Novel VAPT Algorithm: Enhancing Web Application Security Trough OWASP top 10 Optimization [0.0]
本研究は, サイバーセキュリティ監査に基づいて, 脆弱性評価・浸透試験(VAPT)プロセスを用いたWebアプリケーション(WA)セキュリティ監査のための Open Web Application Security Project (OWASP) Top 10 アルゴリズムの最適化について検討する。
論文 参考訳(メタデータ) (2023-11-17T11:11:21Z) - AUTO: Adaptive Outlier Optimization for Online Test-Time OOD Detection [81.49353397201887]
オープンソースアプリケーションに機械学習モデルをデプロイするには、アウト・オブ・ディストリビューション(OOD)検出が不可欠だ。
我々は、未ラベルのオンラインデータをテスト時に直接利用してOOD検出性能を向上させる、テスト時OOD検出と呼ばれる新しいパラダイムを導入する。
本稿では,入出力フィルタ,IDメモリバンク,意味的に一貫性のある目的からなる適応外乱最適化(AUTO)を提案する。
論文 参考訳(メタデータ) (2023-03-22T02:28:54Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。