論文の概要: Adaptive Exploit Generation against Security Devices and Security APIs
- arxiv url: http://arxiv.org/abs/2410.01568v1
- Date: Wed, 2 Oct 2024 14:05:44 GMT
- ステータス: 処理完了
- システム内更新日: 2024-11-04 16:54:49.291369
- Title: Adaptive Exploit Generation against Security Devices and Security APIs
- Title(参考訳): セキュリティデバイスとセキュリティAPIに対する適応的エクスプロイト生成
- Authors: Robert Künnemann, Julian Biehl,
- Abstract要約: フォーマルな方法を用いて,Security APIに対する概念実証エクスプロイトを自動的に導出する方法を示す。
一般的なプロトコル検証器ProVerifを言語に依存しないテンプレート機構で拡張する。
- 参考スコア(独自算出の注目度): 3.706222947143855
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Proof-of-concept exploits help demonstrate software vulnerability beyond doubt and communicate attacks to non-experts. But exploits can be configuration-specific, for example when in Security APIs, where keys are set up specifically for the application and enterprise the API serves. In this work, we show how to automatically derive proof-of-concept exploits against Security APIs using formal methods. We extend the popular protocol verifier ProVerif with a language-agnostic template mechanism. Employing program snippets attached to steps in the model, we can transform attack traces (which ProVerif typically finds automatically) into programs. Our method is general, flexible and convenient. We demonstrate its use for the W3C Web Cryptography API, for PKCS#11 and for the YubiHSM2, providing the first formal model of the latter.
- Abstract(参考訳): 概念実証エクスプロイトは、疑い以上のソフトウェア脆弱性を実証し、非専門家に攻撃を伝えるのに役立つ。
しかし、エクスプロイトは、例えばSecurity APIでは、APIが提供するアプリケーションやエンタープライズ用にキーを特別に設定するなど、設定固有のものになり得る。
本研究では,形式的手法を用いて,Security APIに対する概念実証を自動生成する方法を示す。
一般的なプロトコル検証器ProVerifを言語に依存しないテンプレート機構で拡張する。
モデルのステップにアタッチされたプログラムスニペットを使用することで、攻撃トレース(通常はProVerifが自動的に見つける)をプログラムに変換することができます。
私たちの方法は一般的で柔軟で便利です。
我々は、W3C Web Cryptography API、PKCS#11、YubiHSM2での使用を実演し、後者の最初の形式モデルを提供する。
関連論文リスト
- EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - A Classification-by-Retrieval Framework for Few-Shot Anomaly Detection to Detect API Injection Attacks [9.693391036125908]
本稿では,2つの主要部品からなる非教師なし数発の異常検出フレームワークを提案する。
まず、FastTextの埋め込みに基づいたAPI専用の汎用言語モデルをトレーニングする。
次に,近似Nearest Neighborサーチを分類・検索手法として用いた。
論文 参考訳(メタデータ) (2024-05-18T10:15:31Z) - An Investigation into Misuse of Java Security APIs by Large Language Models [9.453671056356837]
本稿では,Java のセキュリティ API ユースケースに対する ChatGPT のコード生成に対する信頼性を体系的に評価する。
タスク毎に30の試行にまたがるコードインスタンスの約70%には、セキュリティAPIの誤用が含まれており、20の異なる誤用タイプが識別されている。
約半数のタスクにおいて、この割合は100%に達し、開発者がセキュリティAPIコードを安全に実装するためにChatGPTに頼るまでには長い道のりがあることを示している。
論文 参考訳(メタデータ) (2024-04-04T22:52:41Z) - CodeChameleon: Personalized Encryption Framework for Jailbreaking Large
Language Models [49.60006012946767]
パーソナライズされた暗号化手法に基づく新しいジェイルブレイクフレームワークであるCodeChameleonを提案する。
我々は、7つの大規模言語モデルに関する広範な実験を行い、最先端の平均アタック成功率(ASR)を達成する。
GPT-4-1106上で86.6%のASRを実現する。
論文 参考訳(メタデータ) (2024-02-26T16:35:59Z) - Mitigating Fine-tuning based Jailbreak Attack with Backdoor Enhanced Safety Alignment [56.2017039028998]
言語モデル・アズ・ア・サービス(LM)のファインチューニングは、特にファインチューニングベースのジェイルブレイク攻撃(FJAttack)に対する新たな脅威をもたらす
本稿では,バックドア攻撃の概念と類似性から着想を得たバックドア強化安全アライメント手法を提案する。
我々の総合的な実験は、バックドア強化安全アライメント(Backdoor Enhanced Safety Alignment)を通じて、悪質に微調整されたLSMは、良質な性能を損なうことなく、オリジナルのアライメントモデルと同じような安全性性能を達成することを実証している。
論文 参考訳(メタデータ) (2024-02-22T21:05:18Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Exploiting Novel GPT-4 APIs [3.8710514689921296]
GPT-4 APIで公開された3つの新機能として,ファインチューニング,関数呼び出し,知識検索について検討する。
GPT-4からコアセーフガードを除去できる有害例を15個、良性例を100個まで微調整できることが判明した。
GPT-4アシスタントは、関数呼び出しスキーマを簡単に拡張し、任意の関数呼び出しを実行することができる。
論文 参考訳(メタデータ) (2023-12-21T21:22:41Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Conditional Generative Adversarial Network for keystroke presentation
attack [0.0]
本稿では,キーストローク認証システムへのプレゼンテーションアタックの展開を目的とした新しいアプローチを提案する。
我々の考えは、認証されたユーザを偽装するために使用できる合成キーストロークデータを生成するために、条件付き生成適応ネットワーク(cGAN)を使用することである。
その結果、cGANは、キーストローク認証システムを無効にするために使用できるキーストロークダイナミックスパターンを効果的に生成できることが示唆された。
論文 参考訳(メタデータ) (2022-12-16T12:45:16Z) - OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。
本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
論文 参考訳(メタデータ) (2022-12-13T14:28:06Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。