論文の概要: Security Testing Framework for Web Applications: Benchmarking ZAP V2.12.0 and V2.13.0 by OWASP as an example

• arxiv url: http://arxiv.org/abs/2501.05907v1
• Date: Fri, 10 Jan 2025 12:07:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-13 15:25:53.096071
• Title: Security Testing Framework for Web Applications: Benchmarking ZAP V2.12.0 and V2.13.0 by OWASP as an example
• Title（参考訳）: Webアプリケーションのセキュリティテストフレームワーク: OWASPによるZAP V2.12.0とV2.13.0のベンチマークを例に
• Authors: Usha-Sri Potti, Hong-Sheng Huang, Hsuan-Tung Chen, Hung-Min Sun,
• Abstract要約: この研究は、主要なオープンソースのWebアプリケーション脆弱性スキャナであるZAPとBenchmarkプロジェクトを比較した。 この研究手法は ZAP の v2.12.0 と v2.13.0 を用いて Benchmark の系統的なスキャンを行う。 このベンチマークで得られた結果は、ツールの各バージョンの長所と短所に関する貴重な洞察を提供する。
• 参考スコア（独自算出の注目度）: 0.7249731529275341
• License:
• Abstract: The Huge growth in the usage of web applications has raised concerns regarding their security vulnerabilities, which in turn pushes toward robust security testing tools. This study compares OWASP ZAP, the leading open-source web application vulnerability scanner, across its two most recent iterations. While comparing their performance to the OWASP Benchmark, the study evaluates their efficiency in spotting vulnerabilities in the purposefully vulnerable application, OWASP Benchmark project. The research methodology involves conducting systematic scans of OWASP Benchmark using both v2.12.0 and v2.13.0 of OWASP ZAP. The OWASP Benchmark provides a standardized framework to evaluate the scanner's abilities in identifying security flaws, Insecure Cookies, Path traversal, SQL injection, and more. Results obtained from this benchmark comparison offer valuable insights into the strengths and weaknesses of each version of the tool. This study aids in web application security testing by shedding light on how well-known scanners work at spotting vulnerabilities. The knowledge gained from this study can assist security professionals and developers in making informed decisions to support their web application security status. In conclusion, this study comprehensively analyzes ZAP's capabilities in detecting security flaws using OWASP Benchmark v1.2. The findings add to the continuing debates about online application security tools and establish the framework for future studies and developments in the research field of web application security testing.
• Abstract（参考訳）: Webアプリケーションの利用が大幅に増加したことで、セキュリティ上の脆弱性に対する懸念が高まり、堅牢なセキュリティテストツールへと向かっている。 今回の調査では、オープンソースのWebアプリケーション脆弱性スキャナOWASP ZAPを、最新の2つのイテレーションと比較した。 そのパフォーマンスをOWASP Benchmarkと比較しながら、目的的に脆弱なアプリケーションであるOWASP Benchmarkプロジェクトにおいて脆弱性を見つける際の効率を評価した。 この研究手法はOWASP ZAPのv2.12.0とv2.13.0の両方を用いてOWASPベンチマークの系統的なスキャンを行う。 OWASP Benchmarkは、セキュリティ欠陥、安全でないクッキー、パストラバーサル、SQLインジェクションなどを特定するための、スキャナの能力を評価するための標準化されたフレームワークを提供する。 このベンチマークで得られた結果は、ツールの各バージョンの長所と短所に関する貴重な洞察を提供する。 この研究は、よく知られたスキャナーが脆弱性を見つける方法に光を当てることで、Webアプリケーションのセキュリティテストを支援する。 この研究から得られた知識は、セキュリティ専門家や開発者がWebアプリケーションのセキュリティステータスをサポートするための情報的な決定を下すのに役立てることができる。 結論として,OWASP Benchmark v1.2を用いてセキュリティ欠陥を検出するZAPの機能を総合的に分析した。 この調査結果は、オンラインアプリケーションセキュリティツールに関する継続的な議論と、Webアプリケーションセキュリティテストの研究分野における将来の研究と開発のためのフレームワークを確立することにつながる。

関連論文リスト

• FATH: Authentication-based Test-time Defense against Indirect Prompt Injection Attacks [45.65210717380502]
  大規模言語モデル(LLM)は、現実世界のアプリケーションのための追加ツールとテキスト情報を備えたバックボーンとして広くデプロイされている。 プロンプトインジェクション攻撃は特に脅威であり、外部のテキスト情報に悪意のあるインストラクションを注入することで、LLMを利用して攻撃者が望む答えを生成することができる。 本稿では,AuThentication with Hash-based tags (FATH)という新しいテストタイム防衛戦略を紹介する。
  論文  参考訳（メタデータ） (2024-10-28T20:02:47Z)
• SecCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [47.11178028457252]
  我々はGenAIのリスクをコードする統合的かつ包括的な評価プラットフォームSecCodePLTを開発した。 安全でないコードには、専門家と自動生成を組み合わせたデータ生成のための新しい方法論を導入する。 サイバー攻撃支援のために、我々はモデルに実際の攻撃を引き起こすよう促すサンプルと、我々の環境における動的な指標を構築した。
  論文  参考訳（メタデータ） (2024-10-14T21:17:22Z)
• LLMs in Web Development: Evaluating LLM-Generated PHP Code Unveiling Vulnerabilities and Limitations [0.0]
  本研究では,大規模言語モデルが生成するWebアプリケーションのセキュリティを評価し,2500 GPT-4生成PHP Webサイトを分析した。 本研究は,GPT-4 生成 PHP コード中の Insecure File Upload,sql Injection, Stored XSS, Reflected XSS の同定に重点を置いている。 BurpのScanによると、サイトの11.56%は、すぐに妥協できる。静的スキャンの結果が加わった26%には、Webインタラクションを通じて悪用できる少なくとも1つの脆弱性があった。
  論文  参考訳（メタデータ） (2024-04-21T20:56:02Z)
• Comparing Effectiveness and Efficiency of Interactive Application Security Testing (IAST) and Runtime Application Self-Protection (RASP) Tools in a Large Java-based System [7.255981297835062]
  新たな2つのツールタイプであるInteractive Application Security Testing (IAST)とApplication Self-Protection (RASP)は、十分に評価されていない。 オープンソースJavaベースのオンラインアプリケーションであるOpenMRSにIASTとRASPを適用します。 検出された脆弱性の数とタイプによって効率と有効性を測定し、1時間あたりの検知および防止を行う。
  論文  参考訳（メタデータ） (2023-12-29T18:26:05Z)
• Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
  我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。 我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。 ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
  論文  参考訳（メタデータ） (2023-12-21T01:08:39Z)
• Exploiting Library Vulnerability via Migration Based Automating Test Generation [16.39796265296833]
  ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。 脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。 本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-12-15T06:46:45Z)
• A Novel VAPT Algorithm: Enhancing Web Application Security Trough OWASP top 10 Optimization [0.0]
  本研究は, サイバーセキュリティ監査に基づいて, 脆弱性評価・浸透試験(VAPT)プロセスを用いたWebアプリケーション(WA)セキュリティ監査のための Open Web Application Security Project (OWASP) Top 10 アルゴリズムの最適化について検討する。
  論文  参考訳（メタデータ） (2023-11-17T11:11:21Z)
• Vulnerability Detection Using Two-Stage Deep Learning Models [0.0]
  C/C++ソースコードの脆弱性検出には,2つのディープラーニングモデルが提案されている。 最初のステージはCNNで、ソースコードに脆弱性があるかどうかを検出する。 2番目のステージは、この脆弱性を50種類の脆弱性のクラスに分類するCNN-LTSMである。
  論文  参考訳（メタデータ） (2023-05-08T22:12:34Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。