論文の概要: What All the PHUZZ Is About: A Coverage-guided Fuzzer for Finding Vulnerabilities in PHP Web Applications

• arxiv url: http://arxiv.org/abs/2406.06261v1
• Date: Mon, 10 Jun 2024 13:43:07 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-11 13:58:00.125743
• Title: What All the PHUZZ Is About: A Coverage-guided Fuzzer for Finding Vulnerabilities in PHP Web Applications
• Title（参考訳）: PHUZZとは何か:PHP Webアプリケーションで脆弱性を見つけるためのカバレッジ誘導ファズー
• Authors: Sebastian Neef, Lorenz Kleissner, Jean-Pierre Seifert,
• Abstract要約: 本稿では,PHP WebアプリケーションのためのファジングフレームワークPHUZZを紹介する。 PHUZZは、最先端関連の作業よりもクライアントサイドとサーバサイドの脆弱性クラスを検出するために、新しいアプローチを使用している。 私たちは115のWordPressプラグインの1000以上のAPIエンドポイントをファズして、20以上のセキュリティ問題と2つの新しいCVE-IDを生み出しました。
• 参考スコア（独自算出の注目度）: 5.169724825219126
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Coverage-guided fuzz testing has received significant attention from the research community, with a strong focus on binary applications, greatly disregarding other targets, such as web applications. The importance of the World Wide Web in everyone's life cannot be overstated, and to this day, many web applications are developed in PHP. In this work, we address the challenges of applying coverage-guided fuzzing to PHP web applications and introduce PHUZZ, a modular fuzzing framework for PHP web applications. PHUZZ uses novel approaches to detect more client-side and server-side vulnerability classes than state-of-the-art related work, including SQL injections, remote command injections, insecure deserialization, path traversal, external entity injection, cross-site scripting, and open redirection. We evaluate PHUZZ on a diverse set of artificial and real-world web applications with known and unknown vulnerabilities, and compare it against a variety of state-of-the-art fuzzers. In order to show PHUZZ' effectiveness, we fuzz over 1,000 API endpoints of the 115 most popular WordPress plugins, resulting in over 20 security issues and 2 new CVE-IDs. Finally, we make the framework publicly available to motivate and encourage further research on web application fuzz testing.
• Abstract（参考訳）: カバレッジ誘導型ファジテストは、バイナリアプリケーションに強く焦点を置き、Webアプリケーションのような他のターゲットを非常に無視する研究コミュニティから大きな注目を集めている。 世界ワイドウェブの重要性は、現在までPHPで多くのウェブアプリケーションが開発されている。 本稿では,PHP Webアプリケーションにカバレッジ誘導ファジングを適用する上での課題に対処し,PHP Webアプリケーション用のモジュール型ファジングフレームワークであるPHUZZを紹介する。 PHUZZは、SQLインジェクション、リモートコマンドインジェクション、安全でないデシリアライゼーション、パストラバース、外部エンティティインジェクション、クロスサイトスクリプティング、オープンリダイレクトなど、最先端の作業よりもクライアントサイドおよびサーバサイドの脆弱性クラスを検出する新しいアプローチを使用している。 我々はPHUZZを未知の脆弱性を持つ多種多様な人工および現実世界のWebアプリケーション上で評価し、様々な最先端のファズーと比較した。 PHUZZの有効性を示すために、最も人気のあるWordPressプラグイン115の1000以上のAPIエンドポイントをファズして、20以上のセキュリティ問題と2つの新しいCVE-IDを生み出しました。 最後に、このフレームワークを公開して、Webアプリケーションファジテストに関するさらなる研究を動機づけ、奨励します。

関連論文リスト

• Fuzzing Frameworks for Server-side Web Applications: A Survey [3.522950356329991]
  本稿では,Web APIによるWebアプリケーションテストのための最先端ファジィフレームワークについてレビューする。 我々は過去10年間に、ピアレビューされた記事のオンラインリポジトリ7件から論文を収集してきた。
  論文  参考訳（メタデータ） (2024-06-05T12:45:02Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• Offensive AI: Enhancing Directory Brute-forcing Attack with the Use of Language Models [16.89878267176532]
  Offensive AIは、AIベースの技術をサイバー攻撃に統合するパラダイムである。 そこで本研究では,AIがディレクトリ列挙プロセスを強化し,新しい言語モデルベースのフレームワークを提案する。 実験は、異なるWebアプリケーションドメインから100万のURLからなるテストベッドで実施され、平均パフォーマンスが969%向上したLMベースの攻撃の優位性を実証した。
  論文  参考訳（メタデータ） (2024-04-22T12:40:38Z)
• LLMs in Web Development: Evaluating LLM-Generated PHP Code Unveiling Vulnerabilities and Limitations [0.0]
  本研究では,大規模言語モデルが生成するWebアプリケーションのセキュリティを評価し,2500 GPT-4生成PHP Webサイトを分析した。 本研究は,GPT-4 生成 PHP コード中の Insecure File Upload,sql Injection, Stored XSS, Reflected XSS の同定に重点を置いている。 BurpのScanによると、サイトの11.56%は、すぐに妥協できる。静的スキャンの結果が加わった26%には、Webインタラクションを通じて悪用できる少なくとも1つの脆弱性があった。
  論文  参考訳（メタデータ） (2024-04-21T20:56:02Z)
• Formalizing and Benchmarking Prompt Injection Attacks and Defenses [59.57908526441172]
  本稿では,迅速なインジェクション攻撃を形式化するフレームワークを提案する。 フレームワークに基づいて、既存のものを組み合わせることで、新たな攻撃を設計します。 我々の研究は、将来のプロンプトインジェクション攻撃と防御を定量的に評価するための共通のベンチマークを提供する。
  論文  参考訳（メタデータ） (2023-10-19T15:12:09Z)
• Neural Embeddings for Web Testing [49.66745368789056]
  既存のクローラは、状態等価性を評価するために、アプリ固有のしきい値ベースのアルゴリズムに依存している。 ニューラルネットワークの埋め込みとしきい値のない分類器に基づく新しい抽象関数WEBEMBEDを提案する。 WEBEMBEDは,9つのWebアプリケーションに対する評価の結果,近距離検出により最先端技術よりも精度が高いことがわかった。
  論文  参考訳（メタデータ） (2023-06-12T19:59:36Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• EDEFuzz: A Web API Fuzzer for Excessive Data Exposures [3.5061201620029885]
  Excessive Data Exposure(EDE)は2019年で3番目に重大なAPI脆弱性である。 このような問題を効果的に発見し、修正する自動化ツールが、研究や業界でもほとんどありません。 EDEFuzzと呼ばれる最初のファジィツールを構築し、EDEを体系的に検出します。
  論文  参考訳（メタデータ） (2023-01-23T04:05:08Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• DeFuzz: Deep Learning Guided Directed Fuzzing [41.61500799890691]
  本稿では,DeFuzzというソフトウェア脆弱性検出のための,ディープラーニング(DL)誘導指向ファズリングを提案する。 DeFuzzには2つの主要なスキームが含まれている。 1) 潜在的に脆弱な機能と位置(脆弱性のあるアドレス)を特定するために、トレーニング済みのDL予測モデルを使用する。 正確には、Bidirectional-LSTM (BiLSTM) を用いて注意語を識別し、その脆弱性はこれらの注意語に関連付けられている。
  論文  参考訳（メタデータ） (2020-10-23T03:44:03Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。