論文の概要: Fuzzing Frameworks for Server-side Web Applications: A Survey
- arxiv url: http://arxiv.org/abs/2406.03208v1
- Date: Wed, 5 Jun 2024 12:45:02 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-06 18:30:28.145280
- Title: Fuzzing Frameworks for Server-side Web Applications: A Survey
- Title(参考訳): サーバサイドWebアプリケーションのためのファジングフレームワーク:サーベイ
- Authors: I Putu Arya Dharmaadi, Elias Athanasopoulos, Fatih Turkmen,
- Abstract要約: 本稿では,Web APIによるWebアプリケーションテストのための最先端ファジィフレームワークについてレビューする。
我々は過去10年間に、ピアレビューされた記事のオンラインリポジトリ7件から論文を収集してきた。
- 参考スコア(独自算出の注目度): 3.522950356329991
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: There are around 5.3 billion Internet users, amounting to 65.7% of the global population, and web technology is the backbone of the services delivered via the Internet. To ensure web applications are free from security-related bugs, web developers test the server-side web applications before deploying them to production. The tests are commonly conducted through the interfaces (i.e., Web API) that the applications expose since they are the entry points to the application. Fuzzing is one of the most promising automated software testing techniques suitable for this task; however, the research on (server-side) web application fuzzing has been rather limited compared to binary fuzzing which is researched extensively. This study reviews the state-of-the-art fuzzing frameworks for testing web applications through web API, identifies open challenges, and gives potential future research. We collect papers from seven online repositories of peer-reviewed articles over the last ten years. Compared to other similar studies, our review focuses more deeply on revealing prior work strategies in generating valid HTTP requests, utilising feedback from the Web Under Tests (WUTs), and expanding input spaces. The findings of this survey indicate that several crucial challenges need to be solved, such as the ineffectiveness of web instrumentation and the complexity of handling microservice applications. Furthermore, some potential research directions are also provided, such as fuzzing for web client programming. Ultimately, this paper aims to give a good starting point for developing a better web fuzzing framework.
- Abstract(参考訳): インターネット利用者は約53億人で、世界の人口の65.7%を占めており、ウェブ技術はインターネット経由で配信されるサービスのバックボーンとなっている。
Webアプリケーションがセキュリティ関連のバグから解放されることを保証するため、Web開発者は本番環境にデプロイする前にサーバサイドのWebアプリケーションをテストする。
テストは一般的に、アプリケーションのエントリポイントであるため、アプリケーションが公開するインターフェース(Web API)を通じて行われる。
ファジングは、このタスクに適した最も有望な自動ソフトウェアテスト技術の1つであるが、(サーバ側)Webアプリケーションファジングの研究は、広範囲に研究されているバイナリファジングと比較してかなり限られている。
本研究では,Web APIを通じてWebアプリケーションをテストするための最先端ファジィフレームワークをレビューし,オープンな課題を特定し,将来的な研究を提案する。
我々は過去10年間に、ピアレビューされた記事のオンラインリポジトリ7件から論文を収集してきた。
他の同様の研究と比較して、我々のレビューは、有効なHTTPリクエストの生成、Web Under Tests(WUT)からのフィードバックの利用、入力スペースの拡張における事前の作業戦略を明らかにすることに焦点を当てている。
この調査の結果は、Webインスツルメンテーションの非効率性やマイクロサービスアプリケーション処理の複雑さなど、いくつかの重要な課題を解決する必要があることを示唆している。
さらに、Webクライアントプログラミングのためのファジングなど、潜在的な研究の方向性も提供される。
最終的に、この論文はより良いWebファジィングフレームワークを開発するための良い出発点を提供することを目的としている。
関連論文リスト
- Beyond Browsing: API-Based Web Agents [58.39129004543844]
APIベースのエージェントはWebArenaの実験でWebブラウジングエージェントを上回っている。
ハイブリッドエージェント(Hybrid Agents)は、タスク全体にわたって、ほぼ均一にパフォーマンスを向上する。
結果から,APIが利用可能であれば,Webブラウジングのみに依存するという,魅力的な代替手段が提示されることが強く示唆された。
論文 参考訳(メタデータ) (2024-10-21T19:46:06Z) - No Peer, no Cry: Network Application Fuzzing via Fault Injection [19.345967816562364]
我々は、メッセージを変更するのではなく、フォールトインジェクションに依存する、根本的に異なるアプローチを提案する。
Fuzztruction-Netは、他のファズーよりも、カバー範囲やバグの点で優れていることを示す。
全体として、Fuzztruction-Netは、WebサーバのNginxやApache HTTPd、OpenSSHクライアントなど、よくテストされたソフトウェアの23のバグを発見した。
論文 参考訳(メタデータ) (2024-09-02T08:35:55Z) - FuzzTheREST: An Intelligent Automated Black-box RESTful API Fuzzer [0.0]
この作業では、脆弱性検出にReinforcement Learning(RL)を使用しているファジィテストツールのブラックボックスAPIを導入している。
このツールは6つのユニークな脆弱性を発見し、55%のコードカバレッジを達成した。
論文 参考訳(メタデータ) (2024-07-19T14:43:35Z) - What All the PHUZZ Is About: A Coverage-guided Fuzzer for Finding Vulnerabilities in PHP Web Applications [5.169724825219126]
本稿では,PHP WebアプリケーションのためのファジングフレームワークPHUZZを紹介する。
PHUZZは、最先端関連の作業よりもクライアントサイドとサーバサイドの脆弱性クラスを検出するために、新しいアプローチを使用している。
私たちは115のWordPressプラグインの1000以上のAPIエンドポイントをファズして、20以上のセキュリティ問題と2つの新しいCVE-IDを生み出しました。
論文 参考訳(メタデータ) (2024-06-10T13:43:07Z) - Artificial Intelligence for Web 3.0: A Comprehensive Survey [76.06151253928171]
Web 3.0の現在の開発状況と、Web 3.0におけるAIテクノロジの適用について検討する。
調査では、各レイヤに存在する主な課題と課題について詳しく調べています。
私たちは、Web 3.0の基礎と成長におけるAIの重要な役割を説明します。
論文 参考訳(メタデータ) (2023-08-17T12:36:01Z) - A Real-World WebAgent with Planning, Long Context Understanding, and
Program Synthesis [69.15016747150868]
本稿では,WebAgentについて紹介する。WebAgentは自己経験から学習し,実際のWebサイト上でタスクを完了させるエージェントである。
WebAgentは、指示を標準のサブ命令に分解し、長いHTMLドキュメントをタスク関連スニペットに要約し、ウェブサイトで作用する計画である。
我々は、我々のモジュラーレシピが実際のWebサイトの成功を50%以上改善し、HTML-T5が様々なHTML理解タスクを解決する最良のモデルであることを実証的に実証した。
論文 参考訳(メタデータ) (2023-07-24T14:56:30Z) - Neural Embeddings for Web Testing [49.66745368789056]
既存のクローラは、状態等価性を評価するために、アプリ固有のしきい値ベースのアルゴリズムに依存している。
ニューラルネットワークの埋め込みとしきい値のない分類器に基づく新しい抽象関数WEBEMBEDを提案する。
WEBEMBEDは,9つのWebアプリケーションに対する評価の結果,近距離検出により最先端技術よりも精度が高いことがわかった。
論文 参考訳(メタデータ) (2023-06-12T19:59:36Z) - EDEFuzz: A Web API Fuzzer for Excessive Data Exposures [3.5061201620029885]
Excessive Data Exposure(EDE)は2019年で3番目に重大なAPI脆弱性である。
このような問題を効果的に発見し、修正する自動化ツールが、研究や業界でもほとんどありません。
EDEFuzzと呼ばれる最初のファジィツールを構築し、EDEを体系的に検出します。
論文 参考訳(メタデータ) (2023-01-23T04:05:08Z) - From Symbols to Embeddings: A Tale of Two Representations in
Computational Social Science [77.5409807529667]
コンピュータ社会科学(CSS)の研究は、データ駆動型であり、オンラインのユーザ生成コンテンツやソーシャルネットワークの可用性から大きな恩恵を受けている。
回答を探るため、テキストとネットワークの両方でCSSのデータ表現を徹底的にレビューする。
以上の表現の応用は、CSSに関連する6つのトップ会場から400以上の研究論文を調査した結果に基づく。
論文 参考訳(メタデータ) (2021-06-27T11:04:44Z) - Towards an ontology of HTTP interactions [0.0]
HTTPは、すべてのWeb開発の中心に残っています。
RDF語彙の提案は存在する。
再利用可能なものにするために、適応と拡張を提案します。
論文 参考訳(メタデータ) (2020-07-20T08:38:36Z) - Mining Implicit Relevance Feedback from User Behavior for Web Question
Answering [92.45607094299181]
本研究は,ユーザ行動と通過関連性との関連性を検討するための最初の研究である。
提案手法は,追加のラベル付きデータを使わずにパスランキングの精度を大幅に向上させる。
実際にこの研究は、グローバルな商用検索エンジンにおけるQAサービスの人為的ラベリングコストを大幅に削減する効果が証明されている。
論文 参考訳(メタデータ) (2020-06-13T07:02:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。