論文の概要: Detecting and Measuring Security Implications of Entangled Domain Verification in CDN

• arxiv url: http://arxiv.org/abs/2409.01887v1
• Date: Tue, 3 Sep 2024 13:27:33 GMT
• ステータス: 処理完了
• システム内更新日: 2024-09-06 01:23:22.090746
• Title: Detecting and Measuring Security Implications of Entangled Domain Verification in CDN
• Title（参考訳）: CDNにおける絡み合ったドメイン検証のセキュリティへの影響の検出と測定
• Authors: Ziyu Lin, Zhiwei Lin, Run Guo, Jianjun Chen, Mingming Zhang, Ximeng Liu, Tianhao Yang, Zhuoran Cao, Robert H. Deng,
• Abstract要約: ドメイン検証の欠如(DVA)は、コンテンツ配信ネットワーク(CDN)における重大なセキュリティ欠陥である 本稿では,CDNのドメイン悪用につながるDVA脆弱性を検出する自動システムであるDVAHunterを提案する。
• 参考スコア（独自算出の注目度）: 30.611196380526213
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Content Delivery Networks (CDNs) offer a protection layer for enhancing the security of websites. However, a significant security flaw named Absence of Domain Verification (DVA) has become emerging recently. Although this threat is recognized, the current practices and security flaws of domain verification strategies in CDNs have not been thoroughly investigated. In this paper, we present DVAHunter, an automated system for detecting DVA vulnerabilities that can lead to domain abuse in CDNs. Our evaluation of 45 major CDN providers reveals the prevalence of DVA: most (39/45) providers do not perform any verification, and even those that do remain exploitable. Additionally, we used DVAHunter to conduct a large-scale measurement of 89M subdomains from Tranco's Top 1M sites hosted on the 45 CDNs under evaluation. Our focus was on two primary DVA exploitation scenarios: covert communication and domain hijacking. We identified over 332K subdomains vulnerable to domain abuse. This tool provides deeper insights into DVA exploitation and allows us to propose viable mitigation practices for CDN providers. To date, we have received vulnerability confirmations from 12 providers; 6 (e.g., Edgio, Kuocai) have implemented fixes, and 1 (ChinaNetCenter) are actively working on solutions based on our recommendations.
• Abstract（参考訳）: コンテンツ配信ネットワーク(CDN)は、ウェブサイトのセキュリティを強化するための保護層を提供する。 しかし、Absence of Domain Verification (DVA)と呼ばれる重大なセキュリティ欠陥が最近出現している。 この脅威は認識されているが、CDNにおけるドメイン検証戦略の現在の実践とセキュリティ上の欠陥は、十分に調査されていない。 本稿では,CDNのドメイン悪用につながる可能性のあるDVA脆弱性を検出する自動システムであるDVAHunterを提案する。 ほとんどの(39/45)プロバイダは、いかなる検証も行わず、また、まだ利用可能なものでさえも、DVAが普及していることが、主要なCDNプロバイダ45社の評価から明らかになっている。 さらに、DVAHunterを用いて、45CDNでホストされているTrancoのTop 100Mサイトから89Mのサブドメインを大規模に測定した。 当社では,2つの主要なDVA活用シナリオ – 隠蔽通信とドメインハイジャック – に注目しています。 ドメイン悪用に弱い332Kサブドメインを同定した。 本ツールは,CDNプロバイダに対して,DVAの活用に関する深い知見を提供し,実行可能な緩和プラクティスを提案する。 現在、12のプロバイダから脆弱性の確認を受けています。6(例:Edgio、Kuocai)が修正を実装しており、1( ChinaNetCenter)が当社の推奨に基づいて積極的にソリューションに取り組んでいます。

関連論文リスト

• On the Verification of Control Flow Attestation Evidence [9.30850875158975]
  我々は、Vrfが受信した証拠を効果的に分析できれば、実行時の検証と監査は本当に役に立つと論じる。 Vrfによる実行時のエビデンスを実際に活用するためのケーススタディとして,SABRE: A Security Analysis and Binary repair Engineを提案する。
  論文  参考訳（メタデータ） (2024-11-16T18:24:11Z)
• Unveiling the Bandwidth Nightmare: CDN Compression Format Conversion Attacks [20.374230089231766]
  我々は,新しいHTTP増幅攻撃CDN圧縮フォーマット変換(CDN-Convet)攻撃を提案する。 これにより、攻撃者はCDNの後方に配置されたオリジンサーバの帯域幅だけでなく、CDNサロゲートノードの帯域幅も大幅に消耗できる。 本研究は,11種のCDNに対するCDN-Convet攻撃について検討し,実現可能性と実世界への影響について検討した。
  論文  参考訳（メタデータ） (2024-09-01T13:03:47Z)
• Do CAA, CT, and DANE Interlink in Certificate Deployments? A Web PKI Measurement Study [1.2233362977312945]
  証明書の誤用や誤発行は、Web PKIセキュリティモデルを脅かす。 DNS/DNSSEC レコード CAA と TLSA と CT ログを,使用中の証明書の観点から検討した。
  論文  参考訳（メタデータ） (2024-07-02T14:20:31Z)
• Don't Get Hijacked: Prevalence, Mitigation, and Impact of Non-Secure DNS Dynamic Updates [1.135267457536642]
  DNS動的更新は本質的に脆弱なメカニズムである。 非セキュアなDNS更新は、ゾーン中毒と呼ばれる新しいタイプの攻撃を受けやすいドメインを残します。 我々は,コンピュータセキュリティインシデント対応チームの通知を含む総合的なキャンペーンを実施した。
  論文  参考訳（メタデータ） (2024-05-30T09:23:53Z)
• Cross-Domain Few-Shot Object Detection via Enhanced Open-Set Object Detector [72.05791402494727]
  本稿では,CD-FSODを用いたクロスドメイン小ショット検出法について検討する。 最小限のラベル付き例で、新しいドメインのための正確なオブジェクト検出器を開発することを目的としている。
  論文  参考訳（メタデータ） (2024-02-05T15:25:32Z)
• Measuring CDNs susceptible to Domain Fronting [2.609441136025819]
  ドメインフロンディング(Domain Fronting)は、コンテンツ配信ネットワーク(CDN)を利用してネットワークパケットの最終目的地を偽装するネットワーク通信技術である。 この技術は、検閲を回避したり、ネットワークセキュリティシステムからマルウェア関連の通信を隠すといった、良心的および悪意的な目的に使用できる。 ドメインフロント化の傾向にあるCDNを発見するための体系的なアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-27T02:04:19Z)
• Enumerating Safe Regions in Deep Neural Networks with Provable Probabilistic Guarantees [86.1362094580439]
  安全プロパティとDNNが与えられた場合、安全であるプロパティ入力領域のすべての領域の集合を列挙する。 この問題の #P-hardness のため,epsilon-ProVe と呼ばれる効率的な近似法を提案する。 提案手法は, 許容限界の統計的予測により得られた出力可到達集合の制御可能な過小評価を利用する。
  論文  参考訳（メタデータ） (2023-08-18T22:30:35Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Safe Self-Refinement for Transformer-based Domain Adaptation [73.8480218879]
  Unsupervised Domain Adaptation (UDA)は、ラベル豊富なソースドメインを活用して、関連するラベルのないターゲットドメイン上のタスクを解決することを目的としている。 特にソースとターゲットドメインの間に大きなドメインギャップがある場合、これは難しい問題です。 SSRT (Safe Self-Refinement for Transformer-based domain adaptation) という新しい手法を提案する。
  論文  参考訳（メタデータ） (2022-04-16T00:15:46Z)
• Voting for the right answer: Adversarial defense for speaker verification [79.10523688806852]
  ASVは敵の攻撃のレーダー下にあり、これは人間の知覚による本来の攻撃と似ている。 盲点領域におけるASVのリスクの高い決定を防止するため、「正しい回答を求める」という考え方を提案する。 実験結果から,本手法は両攻撃者に対するロバスト性を向上することが示された。
  論文  参考訳（メタデータ） (2021-06-15T04:05:28Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。