Fugu-MT 論文翻訳(概要): Java-Class-Hijack: Software Supply Chain Attack for Java based on Maven Dependency Resolution and Java Classloading

論文の概要: Java-Class-Hijack: Software Supply Chain Attack for Java based on Maven Dependency Resolution and Java Classloading

arxiv url: http://arxiv.org/abs/2407.18760v1
Date: Fri, 26 Jul 2024 14:17:47 GMT
ステータス: 処理完了
システム内更新日: 2024-07-29 13:09:10.285323
Title: Java-Class-Hijack: Software Supply Chain Attack for Java based on Maven Dependency Resolution and Java Classloading
Title（参考訳）: Java-Class-Hijack: Maven依存性の解決とJavaクラスローディングに基づくJavaのソフトウェアサプライチェーンアタック
Authors: Federico Bono, Frank Reyes, Aman Sharma, Benoit Baudry, Martin Monperrus,
Abstract要約: Java-Class-Hijackは、依存性ツリーにある正当なクラスをシャドーするクラスを作成することで、攻撃者が悪意のあるコードを注入することを可能にする。この攻撃について説明するとともに、その実現可能性を示す概念実証を提供し、ドイツのCorona-Warn-Appアプリケーションでそれを再現する。
参考スコア（独自算出の注目度）: 9.699225997570384
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: We introduce Java-Class-Hijack, a novel software supply chain attack that enables an attacker to inject malicious code by crafting a class that shadows a legitimate class that is in the dependency tree. We describe the attack, provide a proof-of-concept demonstrating its feasibility, and replicate it in the German Corona-Warn-App server application. The proof-of-concept illustrates how a transitive dependency deep within the dependency tree can hijack a class from a direct dependency and entirely alter its behavior, posing a significant security risk to Java applications. The replication on the Corona-Warn-App demonstrates how compromising a small JSON validation library could result in a complete database takeover.
Abstract（参考訳）: 私たちはJava-Class-Hijackを紹介します。Java-Class-Hijackは、アタッカーが依存性ツリーにある正当なクラスをシャドウするクラスを作れば悪意のあるコードを注入できる新しいソフトウェアサプライチェーンアタックです。この攻撃について説明するとともに、その実現可能性を示す概念実証を提供し、ドイツのCorona-Warn-Appサーバアプリケーションでそれを再現する。概念実証は、依存関係ツリーの奥深くにある推移的な依存関係が、直接的な依存関係からクラスをハイジャックし、その振る舞いを完全に変更し、Javaアプリケーションに重大なセキュリティリスクを生じさせる方法を示している。 Corona-Warn-Appのレプリケーションは、小さなJSONバリデーションライブラリが完全にデータベースを乗っ取る結果になることを示す。

関連論文リスト

Prefix Guidance: A Steering Wheel for Large Language Models to Defend Against Jailbreak Attacks [27.11523234556414]
我々は,プリフィックスガイダンス(PG)という,プラグアンドプレイで容易に配置可能なジェイルブレイク防御フレームワークを提案する。 PGは、モデルの出力の最初の数個のトークンを直接設定することで、有害なプロンプトを特定するようモデルに誘導する。 3つのモデルと5つの攻撃方法におけるPGの有効性を実証する。
論文参考訳（メタデータ） (2024-08-15T14:51:32Z)
SBOM.EXE: Countering Dynamic Code Injection based on Software Bill of Materials in Java [10.405775369526006]
ソフトウェアサプライチェーンの攻撃は重大な脅威となっている。従来のセーフガードは、ビルド時にサプライチェーン攻撃を軽減することができるが、実行時の脅威を軽減するには限界がある。本稿では,SBOM.EXEについて紹介する。SBOM.EXEは,Javaアプリケーションをそのような脅威から保護するためのプロアクティブシステムである。
論文参考訳（メタデータ） (2024-06-28T22:08:17Z)
WildTeaming at Scale: From In-the-Wild Jailbreaks to (Adversarially) Safer Language Models [66.34505141027624]
我々は、WildTeamingを紹介した。これは自動LLM安全リチームフレームワークで、Wild-Chatbotインタラクションをマイニングし、新しいジェイルブレイク戦術の5.7Kのユニークなクラスタを発見する。 WildTeamingは、未確認のフロンティアLSMの脆弱性を明らかにし、最大4.6倍の多様性と敵の攻撃に成功した。
論文参考訳（メタデータ） (2024-06-26T17:31:22Z)
AutoJailbreak: Exploring Jailbreak Attacks and Defenses through a Dependency Lens [83.08119913279488]
本稿では,ジェイルブレイク攻撃と防衛技術における依存関係の体系的解析について述べる。包括的な、自動化された、論理的な3つのフレームワークを提案します。このアンサンブル・ジェイルブレイク・アタックと防衛の枠組みは,既存の研究を著しく上回る結果となった。
論文参考訳（メタデータ） (2024-06-06T07:24:41Z)
Robust Federated Learning Mitigates Client-side Training Data Distribution Inference Attacks [48.70867241987739]
InferGuardは、クライアント側のトレーニングデータ分散推論攻撃に対する防御を目的とした、新しいビザンチン・ロバスト集約ルールである。実験の結果,我々の防衛機構はクライアント側のトレーニングデータ分布推定攻撃に対する防御に極めて有効であることが示唆された。
論文参考訳（メタデータ） (2024-03-05T17:41:35Z)
TextGuard: Provable Defense against Backdoor Attacks on Text Classification [83.94014844485291]
テキスト分類に対するバックドア攻撃に対する最初の証明可能な防御であるTextGuardを提案する。特にTextGuardは、(バックドアされた)トレーニングデータをサブトレーニングセットに分割し、各トレーニング文をサブ文に分割する。本評価では,3つのベンチマークテキスト分類タスクにおけるTextGuardの有効性を示す。
論文参考訳（メタデータ） (2023-11-19T04:42:16Z)
Streamlining Attack Tree Generation: A Fragment-Based Approach [39.157069600312774]
本稿では,公開情報セキュリティデータベースの情報を活用した,フラグメントベースのアタックグラフ生成手法を提案する。また,攻撃グラフ生成手法として,攻撃モデリングのためのドメイン固有言語を提案する。
論文参考訳（メタデータ） (2023-10-01T12:41:38Z)
RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。 RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
論文参考訳（メタデータ） (2022-07-12T19:34:47Z)
Unleashing the Tiger: Inference Attacks on Split Learning [2.492607582091531]
クライアントのプライベートトレーニングセットの再構築を目的とした汎用的な攻撃戦略を導入する。悪意のあるサーバは、分散モデルの学習プロセスを積極的にハイジャックすることができる。我々は、最近提案された防御手法を克服できることを実証する。
論文参考訳（メタデータ） (2020-12-04T15:41:00Z)
Poisoned classifiers are not only backdoored, they are fundamentally broken [84.67778403778442]
一般的に研究されている、分類モデルに対するバックドア中毒攻撃の下で、攻撃者はトレーニングデータのサブセットに小さなトリガーを追加する。毒を盛った分類器は、引き金を持つ敵のみに弱いと推定されることが多い。本稿では,このバックドア型分類器の考え方が誤りであることを実証的に示す。
論文参考訳（メタデータ） (2020-10-18T19:42:44Z)
Backdoor Attacks on Federated Meta-Learning [0.225596179391365]
我々は,バックドア攻撃によるメタラーニングの効果を分析した。本稿では,その特徴の類似性から入力のクラスが予測されるネットワークに触発された防御機構を提案する。
論文参考訳（メタデータ） (2020-06-12T09:23:24Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。