Fugu-MT 論文翻訳(概要): The HTTP Garden: Discovering Parsing Vulnerabilities in HTTP/1.1 Implementations by Differential Fuzzing of Request Streams

論文の概要: The HTTP Garden: Discovering Parsing Vulnerabilities in HTTP/1.1 Implementations by Differential Fuzzing of Request Streams

arxiv url: http://arxiv.org/abs/2405.17737v1
Date: Tue, 28 May 2024 01:48:05 GMT
ステータス: 処理完了
システム内更新日: 2024-05-29 22:41:57.586198
Title: The HTTP Garden: Discovering Parsing Vulnerabilities in HTTP/1.1 Implementations by Differential Fuzzing of Request Streams
Title（参考訳）: HTTP Garden:リクエストストリームの差分ファズリングによるHTTP/1.1実装における解析脆弱性の発見
Authors: Ben Kallus, Prashant Anantharaman, Michael Locasto, Sean W. Smith,
Abstract要約: HTTP/1.1で不一致を解析することは、Webサーバに対する数多くの攻撃の基盤となっている。我々のシステムであるHTTP Gardenは、元のサーバの解釈とHTTPリクエストのゲートウェイサーバの変換の両方を調べます。私たちのツールを使って、人気のあるWebサーバで100以上のHTTPパースバグを発見し、報告しました。
参考スコア（独自算出の注目度）: 7.012240324005978
License: http://creativecommons.org/licenses/by-sa/4.0/
Abstract: HTTP/1.1 parsing discrepancies have been the basis for numerous classes of attacks against web servers. Previous techniques for discovering HTTP parsing discrepancies have focused on blackbox differential testing of HTTP gateway servers, despite evidence that the most significant parsing anomalies occur within origin servers. While these techniques can detect some vulnerabilities, not all parsing discrepancy-related vulnerabilities are detectable by examining a gateway server's output alone. Our system, the HTTP Garden, examines both origin servers' interpretations and gateway servers' transformations of HTTP requests. It also includes a coverage-guided differential fuzzer for HTTP/1.1 origin servers that is capable of mutating all components of a request stream, paired with an interactive REPL that facilitates the automatic discovery of meaningful HTTP parsing discrepancies and the rapid development of those discrepancies into attack payloads. Using our tool, we have discovered and reported over 100 HTTP parsing bugs in popular web servers, of which 68 have been fixed following our reports. We designate 39 of these to be exploitable. We release the HTTP Garden to the public on GitHub under a free software license to allow researchers to further explore new parser discrepancy-based attacks against HTTP/1.1 servers.
Abstract（参考訳）: HTTP/1.1で不一致を解析することは、Webサーバに対する数多くの攻撃の基盤となっている。 HTTP解析の相違を発見するためのこれまでのテクニックは、HTTPゲートウェイサーバのブラックボックス差分テストに重点を置いていた。これらのテクニックはいくつかの脆弱性を検出することができるが、ゲートウェイサーバのアウトプットのみを調べることで、不一致に関連する脆弱性を解析するすべてのことが検出できるわけではない。我々のシステムであるHTTP Gardenは、元のサーバの解釈とHTTPリクエストのゲートウェイサーバの変換の両方を調べます。リクエストストリームのすべてのコンポーネントを変更可能なHTTP/1.1オリジンサーバ用のカバレッジガイド付き差分ファズーも備えており、対話型REPLと組み合わせることで、有意義なHTTP解析の不一致の自動発見と、これらの不一致を攻撃ペイロードに迅速に展開することを可能にする。私たちのツールを使って、人気のあるWebサーバで100以上のHTTPパースバグを発見し、報告しました。これらのうち39は、悪用可能であると指定します。私たちは、研究者がHTTP/1.1サーバに対する新しいパーサの差異に基づく攻撃を調査できるように、無償のソフトウェアライセンスの下で、HTTP GardenをGitHubに公開しました。

関連論文リスト

Securing the Web: Analysis of HTTP Security Headers in Popular Global Websites [2.7039386580759666]
調査対象のウェブサイトの半数以上(55.66%)は「F」という異常なセキュリティグレードを受けた。これらの低いスコアは、コンテンツセキュリティポリシー(CSP)の弱い実装、HSTSガイドラインの無視、サブリソース統合(SRI)の不十分な適用など、複数の問題を露呈している。
論文参考訳（メタデータ） (2024-10-19T01:03:59Z)
EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文参考訳（メタデータ） (2024-05-21T06:14:49Z)
Fingerprinting web servers through Transformer-encoded HTTP response headers [0.0]
最先端のディープラーニング、ビッグデータ、自然言語処理を活用して、脆弱なWebサーババージョンの検出を強化しています。我々は、さまざまな曖昧で非標準のHTTPリクエストを477万のドメインに送信して実験を行った。
論文参考訳（メタデータ） (2024-03-26T17:24:28Z)
Beyond the Request: Harnessing HTTP Response Headers for Cross-Browser Web Tracker Classification in an Imbalanced Setting [0.0]
本研究は、二項化HTTP応答ヘッダを用いたWebトラッカー検出のための効果的な機械学習分類器を設計する試みである。 10の教師付きモデルがChromeデータ上でトレーニングされ、1年後のChromeデータセットを含むすべてのブラウザでテストされた。結果は、ChromeとFirefoxで高い精度、F1スコア、精度、リコール、最小ログロスエラーを示した。
論文参考訳（メタデータ） (2024-02-02T09:07:09Z)
Does Few-shot Learning Suffer from Backdoor Attacks? [63.9864247424967]
数発の学習がバックドアアタックに対して脆弱であることは明らかです。本手法は,FSLタスクにおける攻撃成功率(ASR)を,異なる数発の学習パラダイムで示す。この研究は、数発の学習がまだバックドア攻撃に悩まされており、そのセキュリティに注意を払う必要があることを明らかにしている。
論文参考訳（メタデータ） (2023-12-31T06:43:36Z)
An Embarrassingly Simple Backdoor Attack on Self-supervised Learning [52.28670953101126]
自己教師付き学習(SSL)は、ラベルに頼ることなく、複雑なデータの高品質な表現を学習することができる。 SSLのバックドア攻撃に対する脆弱性について検討する。
論文参考訳（メタデータ） (2022-10-13T20:39:21Z)
Check Your Other Door! Establishing Backdoor Attacks in the Frequency Domain [80.24811082454367]
検出不能で強力なバックドア攻撃を確立するために周波数領域を利用する利点を示す。また、周波数ベースのバックドア攻撃を成功させる2つの防御方法と、攻撃者がそれらを回避できる可能性を示す。
論文参考訳（メタデータ） (2021-09-12T12:44:52Z)
HTTP2vec: Embedding of HTTP Requests for Detection of Anomalous Traffic [0.0]
我々は、HTTPリクエストを埋め込んだ後、トラフィックの異常を分類するための教師なし言語表現モデルを提案する。このソリューションはDoc2Vecのような自然言語処理(NLP)で使われる手法によって動機付けられている。実際の単語条件でどのようにソリューションが機能するかを検証するために、正規のトラフィックのみを使用してモデルをトレーニングする。
論文参考訳（メタデータ） (2021-08-03T21:53:31Z)
Website fingerprinting on early QUIC traffic [12.18618920843956]
交通分析の観点から,GQUIC,IQUIC,HTTPSのWFP攻撃に対する脆弱性について検討した。 GQUICはGQUIC、IQUIC、HTTPSの中で最も脆弱であるが、IQUICはHTTPSよりも脆弱である。
論文参考訳（メタデータ） (2021-01-28T08:53:51Z)
Red Alarm for Pre-trained Models: Universal Vulnerability to Neuron-Level Backdoor Attacks [98.15243373574518]
事前訓練されたモデル(PTM)は、下流の様々なタスクで広く使われている。本研究では,バックドアアタックによって微調整されたPTMを容易に制御できるPTMの普遍的脆弱性を実証する。
論文参考訳（メタデータ） (2021-01-18T10:18:42Z)
Backdoor Learning: A Survey [75.59571756777342]
バックドア攻撃はディープニューラルネットワーク(DNN)に隠れたバックドアを埋め込むバックドア学習は、急速に成長する研究分野である。本稿では,この領域を包括的に調査する。
論文参考訳（メタデータ） (2020-07-17T04:09:20Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。