論文の概要: A Survey of the Overlooked Dangers of Template Engines
- arxiv url: http://arxiv.org/abs/2405.01118v1
- Date: Thu, 2 May 2024 09:28:53 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-03 17:13:51.750906
- Title: A Survey of the Overlooked Dangers of Template Engines
- Title(参考訳): テンプレートエンジンの見過ごされた危険度に関する調査
- Authors: Lorenzo Pisu, Davide Maiorca, Giorgio Giacinto,
- Abstract要約: テンプレートエンジンは、モダンなWebアプリケーション開発において重要な役割を担い、コンテンツ、製品、ユーザーインターフェイスの動的なレンダリングを容易にします。
本稿では,Webアプリケーション開発において重要なセキュリティ問題であるリモートコード実行(RCE)攻撃に対する感受性に焦点を当てる。
- 参考スコア(独自算出の注目度): 0.40964539027092917
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Template engines play a pivotal role in modern web application development, facilitating the dynamic rendering of content, products, and user interfaces. Nowadays, template engines are essential in any website that deals with dynamic data, from e-commerce platforms to social media. However, their widespread use also makes them attractive targets for attackers seeking to exploit vulnerabilities and gain unauthorized access to web servers. This paper presents a comprehensive survey of template engines, focusing on their susceptibility to Remote Code Execution (RCE) attacks, a critical security concern in web application development.
- Abstract(参考訳): テンプレートエンジンは、モダンなWebアプリケーション開発において重要な役割を担い、コンテンツ、製品、ユーザーインターフェイスの動的なレンダリングを容易にします。
現在、テンプレートエンジンは、Eコマースプラットフォームからソーシャルメディアまで、ダイナミックなデータを扱うウェブサイトで必須である。
しかし、それらが広く使われていることは、攻撃者が脆弱性を悪用し、Webサーバへの不正アクセスを得るための魅力的なターゲットでもある。
本稿では,Webアプリケーション開発において重要なセキュリティ問題であるリモートコード実行(RCE)攻撃に対する感受性に着目し,テンプレートエンジンの総合的な調査を行う。
関連論文リスト
- R2D2: Remembering, Reflecting and Dynamic Decision Making for Web Agents [53.94879482534949]
現在のモデルは、Web構造の可視化と理解が限られているため、効率的なナビゲーションとアクション実行に苦しむことが多い。
提案したR2D2フレームワークは,2つのパラダイムを統合することで,これらの課題に対処する。
本研究は,記憶を増強したナビゲーションと反射学習を組み合わせることで,Webエージェントの能力が向上することが示唆された。
論文 参考訳(メタデータ) (2025-01-21T20:21:58Z) - AdvWeb: Controllable Black-box Attacks on VLM-powered Web Agents [22.682464365220916]
AdvWebは、Webエージェント向けに設計された新しいブラックボックス攻撃フレームワークである。
DPOを用いた逆プロンプトモデルの訓練と最適化を行う。
従来のアプローチとは異なり、我々の逆文字列注入はステルスと制御を維持している。
論文 参考訳(メタデータ) (2024-10-22T20:18:26Z) - Adding web pentesting functionality to PTHelper [0.4779196219827506]
このプロジェクトは、PThelper: Penetration Testingプロセスをサポートするオープンソースツールと呼ばれる以前のイニシアチブの直接的な継続である。
この継続はPThelperを拡張し、Web脆弱性を検出し、後に報告する機能に重点を置いている。
論文 参考訳(メタデータ) (2024-10-16T10:05:56Z) - WebAssembly and Security: a review [0.8962460460173961]
私たちは7つの異なるセキュリティカテゴリを識別することで121の論文を分析します。
このギャップを埋めるために、WebAssemblyのセキュリティを扱う研究の包括的なレビューを提案しています。
論文 参考訳(メタデータ) (2024-07-17T03:37:28Z) - "Glue pizza and eat rocks" -- Exploiting Vulnerabilities in Retrieval-Augmented Generative Models [74.05368440735468]
Retrieval-Augmented Generative (RAG)モデルにより大規模言語モデル(LLM)が強化される
本稿では,これらの知識基盤の開放性を敵が活用できるセキュリティ上の脅威を示す。
論文 参考訳(メタデータ) (2024-06-26T05:36:23Z) - AutoScraper: A Progressive Understanding Web Agent for Web Scraper Generation [54.17246674188208]
Webスクレイピングは、Webサイトからデータを抽出し、自動データ収集を可能にし、データ分析機能を強化し、手動のデータ入力作業を最小化する強力なテクニックである。
既存の手法では、ラッパーベースの手法は、新しいウェブサイトで直面する場合、適応性とスケーラビリティの制限に悩まされる。
本稿では,大規模言語モデル(LLM)を用いたWebスクレイパー生成のパラダイムを紹介し,多様なWeb環境をより効率的に処理できる2段階フレームワークであるAutoScraperを提案する。
論文 参考訳(メタデータ) (2024-04-19T09:59:44Z) - WIPI: A New Web Threat for LLM-Driven Web Agents [28.651763099760664]
我々は、Web Agentを間接的に制御し、公開されているWebページに埋め込まれた悪意ある命令を実行する、新しい脅威WIPIを導入する。
WIPIを成功させるためには、ブラックボックス環境で動作させる。
提案手法は,純ブラックボックスシナリオにおいても平均攻撃成功率(ASR)が90%を超えることを達成している。
論文 参考訳(メタデータ) (2024-02-26T19:01:54Z) - WebVoyager: Building an End-to-End Web Agent with Large Multimodal Models [65.18602126334716]
既存のWebエージェントは1つの入力モダリティしか処理せず、単純化されたWebシミュレータや静的なWebスナップショットでのみ評価される。
我々は,WebVoyagerを紹介した。LMM(Large Multimodal Model)を利用したWebエージェントで,現実世界のWebサイトと対話することで,エンド・ツー・エンドでのユーザ指示を完了することができる。
GPT-4(All Tools)とWebVoyager(text-only)の両方のパフォーマンスを大幅に上回る、59.1%のタスク成功率を実現していることを示す。
論文 参考訳(メタデータ) (2024-01-25T03:33:18Z) - FedDefender: Client-Side Attack-Tolerant Federated Learning [60.576073964874]
フェデレーション学習は、プライバシを損なうことなく、分散化されたデータソースからの学習を可能にする。
悪意のあるクライアントがトレーニングプロセスに干渉する、毒殺攻撃のモデル化には脆弱である。
我々はFedDefenderと呼ばれるクライアントサイドに焦点を当てた新しい防御機構を提案し、クライアントの堅牢なローカルモデルのトレーニングを支援する。
論文 参考訳(メタデータ) (2023-07-18T08:00:41Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Intelligent Software Web Agents: A Gap Analysis [0.0]
私たちは、要件とアーキテクチャコンポーネントに関する研究によって導かれたインテリジェントなソフトウェアWebエージェントの観点で現状を調べます。
提案するハイブリッドセマンティックWebエージェントアーキテクチャは,既存のセマンティックWeb標準が果たす役割を議論し,セマンティックWebエージェントのビジョンを現実化するのに有効な,より広範なセマンティックWebコミュニティにおける既存の作業を指し示すものである。
論文 参考訳(メタデータ) (2021-02-12T16:32:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。