論文の概要: Securing the Web: Analysis of HTTP Security Headers in Popular Global Websites

• arxiv url: http://arxiv.org/abs/2410.14924v1
• Date: Sat, 19 Oct 2024 01:03:59 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-28 17:07:37.776321
• Title: Securing the Web: Analysis of HTTP Security Headers in Popular Global Websites
• Title（参考訳）: Webのセキュア化 - 人気のグローバルWebサイトにおけるHTTPセキュリティヘッダの解析
• Authors: Urvashi Kishnani, Sanchari Das,
• Abstract要約: 調査対象のウェブサイトの半数以上(55.66%)は「F」という異常なセキュリティグレードを受けた。 これらの低いスコアは、コンテンツセキュリティポリシー(CSP)の弱い実装、HSTSガイドラインの無視、サブリソース統合(SRI)の不十分な適用など、複数の問題を露呈している。
• 参考スコア（独自算出の注目度）: 2.7039386580759666
• License: http://creativecommons.org/publicdomain/zero/1.0/
• Abstract: The surge in website attacks, including Denial of Service (DoS), Cross-Site Scripting (XSS), and Clickjacking, underscores the critical need for robust HTTPS implementation-a practice that, alarmingly, remains inadequately adopted. Regarding this, we analyzed HTTP security headers across N=3,195 globally popular websites. Initially, we employed automated categorization using Google NLP to organize these websites into functional categories and validated this categorization through manual verification using Symantec Sitereview. Subsequently, we assessed HTTPS implementation across these websites by analyzing security factors, including compliance with HTTP Strict Transport Security (HSTS) policies, Certificate Pinning practices, and other security postures using the Mozilla Observatory. Our analysis revealed over half of the websites examined (55.66%) received a dismal security grade of 'F' and most websites scored low for various metrics, which is indicative of weak HTTP header implementation. These low scores expose multiple issues such as weak implementation of Content Security Policies (CSP), neglect of HSTS guidelines, and insufficient application of Subresource Integrity (SRI). Alarmingly, healthcare websites (n=59) are particularly concerning; despite being entrusted with sensitive patient data and obligations to comply with data regulations, these sites recorded the lowest average score (18.14). We conclude by recommending that developers should prioritize secure redirection strategies and use implementation ease as a guide when deciding where to focus their development efforts.
• Abstract（参考訳）: Denial of Service (DoS)、Cross-Site Scripting (XSS)、ClickjackingなどのWebサイト攻撃の急増は、堅牢なHTTPS実装に対する重要な必要性を浮き彫りにしている。 これに関して、N=3,195のグローバルなWebサイトにわたるHTTPセキュリティヘッダを分析した。 当初はGoogle NLPを用いた自動分類を用いて,これらのWebサイトを機能カテゴリに分類し,Symantec Sitereviewを用いた手作業による検証により,この分類を検証した。 その後、HTTP Strict Transport Security (HSTS)ポリシーの遵守、認証ピンニングの慣行、Mozilla Observatoryを使った他のセキュリティ姿勢など、セキュリティ要因を分析して、これらのWebサイトのHTTPS実装を評価した。 分析の結果、調査対象のWebサイトの半数以上(55.66%)が"F"という異常なセキュリティグレードを受けており、ほとんどのWebサイトは、HTTPヘッダ実装が弱いことを示すさまざまなメトリクスで低いスコアを得ています。 これらの低いスコアは、Content Security Policies(CSP)の弱い実装、HSTSガイドラインの無視、Subresource Integrity(SRI)の不十分な適用など、複数の問題を露呈している。 医療ウェブサイト(n=59)は特に関係があり、機密性の高い患者データやデータ規制に従う義務を負っているにもかかわらず、これらのサイトは最低スコア(18.14)を記録した。 開発者はセキュアなリダイレクト戦略を優先し、開発作業に集中する場所を決定する際には、ガイドとして実装の容易さを使用することを推奨する。

関連論文リスト

• WAFFLED: Exploiting Parsing Discrepancies to Bypass Web Application Firewalls [4.051306574166042]
  Webアプリケーションファイアウォール(WAF)の運用は防御を損なう可能性がある。 我々は、相違点を明らかにすることによって、WAFをバイパスする革新的なアプローチを提案する。 我々は,5つの有名なWAFの1207バイパスを同定し,確認した。
  論文  参考訳（メタデータ） (2025-03-13T19:56:29Z)
• SafeArena: Evaluating the Safety of Autonomous Web Agents [65.49740046281116]
  LLMベースのエージェントは、Webベースのタスクの解決に精通している。 この能力により、悪意のある目的のために誤用されるリスクが高まる。 我々は、Webエージェントの意図的に誤用に焦点を当てた最初のベンチマークであるSafeArenaを提案する。
  論文  参考訳（メタデータ） (2025-03-06T20:43:14Z)
• Dancer in the Dark: Synthesizing and Evaluating Polyglots for Blind Cross-Site Scripting [10.696934248458136]
  クロスサイトスクリプティング(クロスサイトスクリプティング、クロスサイトスクリプティング、英: Cross-Site Scripting、XSS)は、Webアプリケーションにおける一般的なセキュリティ問題である。 ブラインドXSS(BXSS)の総合的研究について紹介する。 我々は,ポリグロットを合成する手法を開発し,すべての共通注入コンテキストで実行される小型XSSペイロードについて述べる。
  論文  参考訳（メタデータ） (2025-02-12T15:02:30Z)
• ChatHTTPFuzz: Large Language Model-Assisted IoT HTTP Fuzzing [18.095573835226787]
  Internet of Things(IoT)デバイスは、Webインターフェース、Web VPN、その他のWebベースのサービスを通じて利便性を提供し、すべてHTTPプロトコルに依存している。 最先端のツールの多くは依然としてランダムな突然変異戦略に依存しており、HTTPプロトコルの構造を正確に理解し、多くの無効なテストケースを生成するのが困難である。 本稿では,プロトコルフィールドを自動的に解析し,サービスコードロジックを解析してプロトコル準拠のテストケースを生成する,新たなLLM誘導型IoT HTTPファジリング手法ChatHTTPFuzzを提案する。
  論文  参考訳（メタデータ） (2024-11-18T10:48:53Z)
• ST-WebAgentBench: A Benchmark for Evaluating Safety and Trustworthiness in Web Agents [3.09793323158304]
  本稿では,企業におけるWebエージェントの安全性と信頼性を評価するためのベンチマークであるST-WebAgentBenchを紹介する。 このベンチマークは、セーフで信頼できる(ST)エージェントの振る舞いを定義する詳細なフレームワークに基づいている。 我々の評価は、現在のSOTAエージェントが政策遵守に苦慮し、重要なビジネスアプリケーションにはまだ頼っていないことを示している。
  論文  参考訳（メタデータ） (2024-10-09T09:13:38Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• LLMs in Web Development: Evaluating LLM-Generated PHP Code Unveiling Vulnerabilities and Limitations [0.0]
  本研究では,大規模言語モデルが生成するWebアプリケーションのセキュリティを評価し,2500 GPT-4生成PHP Webサイトを分析した。 本研究は,GPT-4 生成 PHP コード中の Insecure File Upload,sql Injection, Stored XSS, Reflected XSS の同定に重点を置いている。 BurpのScanによると、サイトの11.56%は、すぐに妥協できる。静的スキャンの結果が加わった26%には、Webインタラクションを通じて悪用できる少なくとも1つの脆弱性があった。
  論文  参考訳（メタデータ） (2024-04-21T20:56:02Z)
• Mitigating Fine-tuning based Jailbreak Attack with Backdoor Enhanced Safety Alignment [56.2017039028998]
  言語モデル・アズ・ア・サービス(LM)のファインチューニングは、特にファインチューニングベースのジェイルブレイク攻撃(FJAttack)に対する新たな脅威をもたらす 本稿では,バックドア攻撃の概念と類似性から着想を得たバックドア強化安全アライメント手法を提案する。 我々の総合的な実験は、バックドア強化安全アライメント(Backdoor Enhanced Safety Alignment)を通じて、悪質に微調整されたLSMは、良質な性能を損なうことなく、オリジナルのアライメントモデルと同じような安全性性能を達成することを実証している。
  論文  参考訳（メタデータ） (2024-02-22T21:05:18Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• The Nonce-nce of Web Security: an Investigation of CSP Nonces Reuse [3.494275179011026]
  本研究は野生におけるCSPナンスの使用を計測・分析するものである。 ナンスベースのポリシーを展開している2271のサイトのうち、598のサイトは同じナンス値を複数のレスポンスで再利用していることがわかった。
  論文  参考訳（メタデータ） (2023-09-14T15:15:44Z)
• An Embarrassingly Simple Backdoor Attack on Self-supervised Learning [52.28670953101126]
  自己教師付き学習(SSL)は、ラベルに頼ることなく、複雑なデータの高品質な表現を学習することができる。 SSLのバックドア攻撃に対する脆弱性について検討する。
  論文  参考訳（メタデータ） (2022-10-13T20:39:21Z)
• Website fingerprinting on early QUIC traffic [12.18618920843956]
  交通分析の観点から,GQUIC,IQUIC,HTTPSのWFP攻撃に対する脆弱性について検討した。 GQUICはGQUIC、IQUIC、HTTPSの中で最も脆弱であるが、IQUICはHTTPSよりも脆弱である。
  論文  参考訳（メタデータ） (2021-01-28T08:53:51Z)
• Measurement-driven Security Analysis of Imperceptible Impersonation Attacks [54.727945432381716]
  本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。 皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。 また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
  論文  参考訳（メタデータ） (2020-08-26T19:27:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。