論文の概要: Mining REST APIs for Potential Mass Assignment Vulnerabilities

• arxiv url: http://arxiv.org/abs/2405.01111v1
• Date: Thu, 2 May 2024 09:19:32 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-03 17:13:51.761422
• Title: Mining REST APIs for Potential Mass Assignment Vulnerabilities
• Title（参考訳）: 潜在的なマスアサインメント脆弱性のためのREST APIのマイニング
• Authors: Arash Mazidi, Davide Corradini, Mohammad Ghafari,
• Abstract要約: 我々は、REST API仕様をマイニングする軽量なアプローチを提案し、大量割り当てをしがちな操作と属性を特定します。 6つのオープンソースAPIで、9つの本当の脆弱な操作を確認します。
• 参考スコア（独自算出の注目度）: 1.0377683220196872
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: REST APIs have a pivotal role in accessing protected resources within cyberspace. Despite the availability of security testing tools, mass assignment vulnerabilities are common, yielding unauthorized access to sensitive data. We propose a lightweight approach to mine the REST API specifications and identify operations and attributes that are prone to mass assignment. We conducted a preliminary study on 100 APIs and found 25 prone to this vulnerability. We confirmed nine real vulnerable operations in six open-source APIs.
• Abstract（参考訳）: REST APIは、サイバースペース内の保護されたリソースにアクセスする上で重要な役割を持っています。 セキュリティテストツールが利用可能であるにもかかわらず、大量割り当ての脆弱性は一般的であり、機密データへの不正アクセスをもたらす。 我々は、REST API仕様をマイニングする軽量なアプローチを提案し、大量割り当てをしがちな操作と属性を特定します。 100のAPIについて予備調査を行い、25の脆弱性が見つかった。 6つのオープンソースAPIで、9つの本当の脆弱な操作を確認しました。

関連論文リスト

• A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
  私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスフレームワークであるAutoRestTestを紹介します。 MARL(Multi-Agent Reinforcement Learning)とSPDG(Semantic Property Dependency Graph)とLLM(Large Language Models)を統合した。 このアプローチでは、REST APIテストを、API、依存性、パラメータ、バリューという4つのエージェントが協力して、API探索を最適化する、分離可能な問題として扱います。
  論文  参考訳（メタデータ） (2024-11-11T16:20:27Z)
• Reinforcement Learning-Based REST API Testing with Multi-Coverage [4.127886193201882]
  MUCORESTは、Qラーニングを利用してコードカバレッジと出力カバレッジを最大化する、新しい強化学習(RL)ベースのAPIテストアプローチである。 MUCORESTは、発見されたAPIバグの数で、最先端のAPIテストアプローチを11.6-261.1%上回っている。
  論文  参考訳（メタデータ） (2024-10-20T14:20:23Z)
• DeepREST: Automated Test Case Generation for REST APIs Exploiting Deep Reinforcement Learning [5.756036843502232]
  本稿では、REST APIを自動テストするための新しいブラックボックスアプローチであるDeepRESTを紹介します。 深い強化学習を活用して、暗黙のAPI制約、すなわちAPIドキュメントから隠された制約を明らかにする。 実験により,提案手法は高いテストカバレッジと故障検出を実現する上で極めて有効であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-16T08:03:55Z)
• You Can REST Now: Automated Specification Inference and Black-Box Testing of RESTful APIs with Large Language Models [8.753312212588371]
  APIを手動でドキュメンテーションすることは、時間がかかり、エラーを起こしやすいタスクであり、その結果、利用できない、不完全な、あるいは不正確なドキュメントになります。 近年,Large Language Models (LLMs) は,その余分なトレーニングデータに基づいてタスクを自動化できることを実証している。 私たちは、最初の自動API仕様推論とブラックボックステストアプローチであるRESTSpecITを紹介します。
  論文  参考訳（メタデータ） (2024-02-07T18:55:41Z)
• Leveraging Large Language Models to Improve REST API Testing [51.284096009803406]
  RESTGPTはAPI仕様を入力として、機械解釈可能なルールを抽出し、仕様内の自然言語記述からサンプルパラメータ値を生成する。 評価の結果、RESTGPTはルール抽出と値生成の両方において既存の技術よりも優れています。
  論文  参考訳（メタデータ） (2023-12-01T19:53:23Z)
• Exploring Behaviours of RESTful APIs in an Industrial Setting [0.43012765978447565]
  これらのAPIが示す振る舞いの例を生成するために,REST APIに共通する一連の動作特性を提案する。 これらの例は、APIの理解を深めるために(i)、自動テストケースのソースとして(ii)の両方に使用することができます。 提案手法は,システム理解と実践者によるテスト生成の源泉として考えられる例を生成することができる。
  論文  参考訳（メタデータ） (2023-10-26T11:33:11Z)
• Adaptive REST API Testing with Reinforcement Learning [54.68542517176757]
  現在のテストツールは効率的な探索機構がなく、全ての操作とパラメータを等しく扱う。 現在のツールは、仕様にレスポンススキーマがない場合や、変種を示す場合に苦労している。 我々は、強化学習を取り入れた適応型REST APIテスト手法を提案し、探索中の操作を優先順位付けする。
  論文  参考訳（メタデータ） (2023-09-08T20:27:05Z)
• Evaluating Embedding APIs for Information Retrieval [51.24236853841468]
  ドメインの一般化と多言語検索における既存のセマンティック埋め込みAPIの機能を評価する。 BM25の結果をAPIを使って再ランク付けすることは、予算に優しいアプローチであり、英語でもっとも効果的である。 非英語検索では、再ランク付けは結果を改善するが、BM25のハイブリッドモデルは高いコストで機能する。
  論文  参考訳（メタデータ） (2023-05-10T16:40:52Z)
• REaaS: Enabling Adversarially Robust Downstream Classifiers via Robust Encoder as a Service [67.0982378001551]
  サービスプロバイダがエンコーダを事前トレーニングして、クラウドサービスAPIとしてデプロイする方法を示します。 クライアントはクラウドサービスAPIに問い合わせて、トレーニング/テスト入力のフィーチャーベクタを取得する。 私たちは、クライアントが下流の分類器の堅牢性を証明できるように、クラウドサービスが2つのAPIを提供する必要があることを示しています。
  論文  参考訳（メタデータ） (2023-01-07T17:40:11Z)
• Simple Transparent Adversarial Examples [65.65977217108659]
  本研究は,ロバスト性を評価するための簡易な方法として,秘密の埋め込みと透明な敵の例を紹介した。 その結果、ハイリスクなアプリケーションにAPIが使用されるという深刻な脅威が生じる。
  論文  参考訳（メタデータ） (2021-05-20T11:54:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。