論文の概要: Securing the Web: Analysis of HTTP Security Headers in Popular Global Websites
- arxiv url: http://arxiv.org/abs/2410.14924v1
- Date: Sat, 19 Oct 2024 01:03:59 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-28 17:07:37.776321
- Title: Securing the Web: Analysis of HTTP Security Headers in Popular Global Websites
- Title(参考訳): Webのセキュア化 - 人気のグローバルWebサイトにおけるHTTPセキュリティヘッダの解析
- Authors: Urvashi Kishnani, Sanchari Das,
- Abstract要約: 調査対象のウェブサイトの半数以上(55.66%)は「F」という異常なセキュリティグレードを受けた。
これらの低いスコアは、コンテンツセキュリティポリシー(CSP)の弱い実装、HSTSガイドラインの無視、サブリソース統合(SRI)の不十分な適用など、複数の問題を露呈している。
- 参考スコア(独自算出の注目度): 2.7039386580759666
- License: http://creativecommons.org/publicdomain/zero/1.0/
- Abstract: The surge in website attacks, including Denial of Service (DoS), Cross-Site Scripting (XSS), and Clickjacking, underscores the critical need for robust HTTPS implementation-a practice that, alarmingly, remains inadequately adopted. Regarding this, we analyzed HTTP security headers across N=3,195 globally popular websites. Initially, we employed automated categorization using Google NLP to organize these websites into functional categories and validated this categorization through manual verification using Symantec Sitereview. Subsequently, we assessed HTTPS implementation across these websites by analyzing security factors, including compliance with HTTP Strict Transport Security (HSTS) policies, Certificate Pinning practices, and other security postures using the Mozilla Observatory. Our analysis revealed over half of the websites examined (55.66%) received a dismal security grade of 'F' and most websites scored low for various metrics, which is indicative of weak HTTP header implementation. These low scores expose multiple issues such as weak implementation of Content Security Policies (CSP), neglect of HSTS guidelines, and insufficient application of Subresource Integrity (SRI). Alarmingly, healthcare websites (n=59) are particularly concerning; despite being entrusted with sensitive patient data and obligations to comply with data regulations, these sites recorded the lowest average score (18.14). We conclude by recommending that developers should prioritize secure redirection strategies and use implementation ease as a guide when deciding where to focus their development efforts.
- Abstract(参考訳): Denial of Service (DoS)、Cross-Site Scripting (XSS)、ClickjackingなどのWebサイト攻撃の急増は、堅牢なHTTPS実装に対する重要な必要性を浮き彫りにしている。
これに関して、N=3,195のグローバルなWebサイトにわたるHTTPセキュリティヘッダを分析した。
当初はGoogle NLPを用いた自動分類を用いて,これらのWebサイトを機能カテゴリに分類し,Symantec Sitereviewを用いた手作業による検証により,この分類を検証した。
その後、HTTP Strict Transport Security (HSTS)ポリシーの遵守、認証ピンニングの慣行、Mozilla Observatoryを使った他のセキュリティ姿勢など、セキュリティ要因を分析して、これらのWebサイトのHTTPS実装を評価した。
分析の結果、調査対象のWebサイトの半数以上(55.66%)が"F"という異常なセキュリティグレードを受けており、ほとんどのWebサイトは、HTTPヘッダ実装が弱いことを示すさまざまなメトリクスで低いスコアを得ています。
これらの低いスコアは、Content Security Policies(CSP)の弱い実装、HSTSガイドラインの無視、Subresource Integrity(SRI)の不十分な適用など、複数の問題を露呈している。
医療ウェブサイト(n=59)は特に関係があり、機密性の高い患者データやデータ規制に従う義務を負っているにもかかわらず、これらのサイトは最低スコア(18.14)を記録した。
開発者はセキュアなリダイレクト戦略を優先し、開発作業に集中する場所を決定する際には、ガイドとして実装の容易さを使用することを推奨する。
関連論文リスト
- WebGuard: Building a Generalizable Guardrail for Web Agents [59.31116061613742]
WebGuardは、Webエージェントアクションリスクの評価をサポートするために設計された最初のデータセットである。
その中には、22のドメインにわたる193のWebサイトからの4,939の人手によるアノテートアクションが含まれている。
論文 参考訳(メタデータ) (2025-07-18T18:06:27Z) - OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。
従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。
ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
論文 参考訳(メタデータ) (2025-07-08T16:18:54Z) - Streamlining HTTP Flooding Attack Detection through Incremental Feature Selection [0.3277163122167433]
本稿では,そのような攻撃を検知する手法を提案する。
INFS-MICCは、非常に関連性が高く独立した機能サブセットのサブセットを特定するのに役立つ。
論文 参考訳(メタデータ) (2025-05-20T06:19:03Z) - The Hidden Dangers of Browsing AI Agents [0.0]
本稿では,複数のアーキテクチャ層にまたがるシステム的脆弱性に着目し,このようなエージェントの総合的なセキュリティ評価を行う。
本研究は,ブラウジングエージェントのエンド・ツー・エンドの脅威モデルについて概説し,実環境への展開を確保するための実用的なガイダンスを提供する。
論文 参考訳(メタデータ) (2025-05-19T13:10:29Z) - Browser Security Posture Analysis: A Client-Side Security Assessment Framework [0.0]
本稿では、ブラウザ内で完全にJavaScriptとWebAssemblyで動作する、ブラウザベースのクライアント側セキュリティアセスメントツールキットを提案する。
ブラウザ内セキュリティテスト120以上のバッテリを実行し、セキュリティポリシとネットワークレベルやosレベルのツールが監視できない機能の詳細診断を提供する。
本稿では,ブラウザセキュリティとエンタープライズエンドポイントソリューションの関連作業と比較し,リアルタイム姿勢監視やSIEM統合といった今後の機能拡張について述べる。
論文 参考訳(メタデータ) (2025-05-12T20:38:19Z) - WAFFLED: Exploiting Parsing Discrepancies to Bypass Web Application Firewalls [4.051306574166042]
Webアプリケーションファイアウォール(WAF)の運用は防御を損なう可能性がある。
我々は、相違点を明らかにすることによって、WAFをバイパスする革新的なアプローチを提案する。
我々は,5つの有名なWAFの1207バイパスを同定し,確認した。
論文 参考訳(メタデータ) (2025-03-13T19:56:29Z) - SafeArena: Evaluating the Safety of Autonomous Web Agents [65.49740046281116]
LLMベースのエージェントは、Webベースのタスクの解決に精通している。
この能力により、悪意のある目的のために誤用されるリスクが高まる。
我々は、Webエージェントの意図的に誤用に焦点を当てた最初のベンチマークであるSafeArenaを提案する。
論文 参考訳(メタデータ) (2025-03-06T20:43:14Z) - Dancer in the Dark: Synthesizing and Evaluating Polyglots for Blind Cross-Site Scripting [10.696934248458136]
クロスサイトスクリプティング(クロスサイトスクリプティング、クロスサイトスクリプティング、英: Cross-Site Scripting、XSS)は、Webアプリケーションにおける一般的なセキュリティ問題である。
ブラインドXSS(BXSS)の総合的研究について紹介する。
我々は,ポリグロットを合成する手法を開発し,すべての共通注入コンテキストで実行される小型XSSペイロードについて述べる。
論文 参考訳(メタデータ) (2025-02-12T15:02:30Z) - ChatHTTPFuzz: Large Language Model-Assisted IoT HTTP Fuzzing [18.095573835226787]
Internet of Things(IoT)デバイスは、Webインターフェース、Web VPN、その他のWebベースのサービスを通じて利便性を提供し、すべてHTTPプロトコルに依存している。
最先端のツールの多くは依然としてランダムな突然変異戦略に依存しており、HTTPプロトコルの構造を正確に理解し、多くの無効なテストケースを生成するのが困難である。
本稿では,プロトコルフィールドを自動的に解析し,サービスコードロジックを解析してプロトコル準拠のテストケースを生成する,新たなLLM誘導型IoT HTTPファジリング手法ChatHTTPFuzzを提案する。
論文 参考訳(メタデータ) (2024-11-18T10:48:53Z) - ST-WebAgentBench: A Benchmark for Evaluating Safety and Trustworthiness in Web Agents [3.09793323158304]
本稿では,企業におけるWebエージェントの安全性と信頼性を評価するためのベンチマークであるST-WebAgentBenchを紹介する。
このベンチマークは、セーフで信頼できる(ST)エージェントの振る舞いを定義する詳細なフレームワークに基づいている。
我々の評価は、現在のSOTAエージェントが政策遵守に苦慮し、重要なビジネスアプリケーションにはまだ頼っていないことを示している。
論文 参考訳(メタデータ) (2024-10-09T09:13:38Z) - GuardAgent: Safeguard LLM Agents by a Guard Agent via Knowledge-Enabled Reasoning [79.07152553060601]
安全ガード要求を満たすか否かを動的に確認し,目標エージェントを保護する最初のガードレールエージェントであるガードアジェントを提案する。
特にGuardAgentは、まず安全ガードの要求を分析してタスクプランを生成し、それからその計画をガードレールコードにマップして実行します。
GuardAgentは、それぞれ98%と83%のガードレール精度を持つ2つのベンチマークにおいて、異なる種類のエージェントに対する違反行為を効果的に抑制することを示した。
論文 参考訳(メタデータ) (2024-06-13T14:49:26Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - LLMs in Web Development: Evaluating LLM-Generated PHP Code Unveiling Vulnerabilities and Limitations [0.0]
本研究では,大規模言語モデルが生成するWebアプリケーションのセキュリティを評価し,2500 GPT-4生成PHP Webサイトを分析した。
本研究は,GPT-4 生成 PHP コード中の Insecure File Upload,sql Injection, Stored XSS, Reflected XSS の同定に重点を置いている。
BurpのScanによると、サイトの11.56%は、すぐに妥協できる。静的スキャンの結果が加わった26%には、Webインタラクションを通じて悪用できる少なくとも1つの脆弱性があった。
論文 参考訳(メタデータ) (2024-04-21T20:56:02Z) - Mitigating Fine-tuning based Jailbreak Attack with Backdoor Enhanced Safety Alignment [56.2017039028998]
言語モデル・アズ・ア・サービス(LM)のファインチューニングは、特にファインチューニングベースのジェイルブレイク攻撃(FJAttack)に対する新たな脅威をもたらす
本稿では,バックドア攻撃の概念と類似性から着想を得たバックドア強化安全アライメント手法を提案する。
我々の総合的な実験は、バックドア強化安全アライメント(Backdoor Enhanced Safety Alignment)を通じて、悪質に微調整されたLSMは、良質な性能を損なうことなく、オリジナルのアライメントモデルと同じような安全性性能を達成することを実証している。
論文 参考訳(メタデータ) (2024-02-22T21:05:18Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - The Nonce-nce of Web Security: an Investigation of CSP Nonces Reuse [3.494275179011026]
本研究は野生におけるCSPナンスの使用を計測・分析するものである。
ナンスベースのポリシーを展開している2271のサイトのうち、598のサイトは同じナンス値を複数のレスポンスで再利用していることがわかった。
論文 参考訳(メタデータ) (2023-09-14T15:15:44Z) - An Embarrassingly Simple Backdoor Attack on Self-supervised Learning [52.28670953101126]
自己教師付き学習(SSL)は、ラベルに頼ることなく、複雑なデータの高品質な表現を学習することができる。
SSLのバックドア攻撃に対する脆弱性について検討する。
論文 参考訳(メタデータ) (2022-10-13T20:39:21Z) - Website fingerprinting on early QUIC traffic [12.18618920843956]
交通分析の観点から,GQUIC,IQUIC,HTTPSのWFP攻撃に対する脆弱性について検討した。
GQUICはGQUIC、IQUIC、HTTPSの中で最も脆弱であるが、IQUICはHTTPSよりも脆弱である。
論文 参考訳(メタデータ) (2021-01-28T08:53:51Z) - Measurement-driven Security Analysis of Imperceptible Impersonation
Attacks [54.727945432381716]
本稿では,ディープニューラルネットワークを用いた顔認識システムの実用性について検討する。
皮膚の色,性別,年齢などの要因が,特定の標的に対する攻撃を行う能力に影響を及ぼすことを示す。
また,攻撃者の顔のさまざまなポーズや視点に対して堅牢なユニバーサルアタックを構築する可能性についても検討した。
論文 参考訳(メタデータ) (2020-08-26T19:27:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。