論文の概要: Taint Analysis for Graph APIs Focusing on Broken Access Control

• arxiv url: http://arxiv.org/abs/2501.08947v1
• Date: Wed, 15 Jan 2025 16:49:32 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-16 15:53:15.686802
• Title: Taint Analysis for Graph APIs Focusing on Broken Access Control
• Title（参考訳）: ブロークアクセス制御に着目したグラフAPIのテイント解析
• Authors: Leen Lambers, Lucas Sakizloglou, Taisiya Khakharova, Fernando Orejas,
• Abstract要約: 本稿では,アクセス制御の故障に着目したグラフAPIに対して,静的および動的テナント解析のための第1の体系的アプローチを提案する。 Graph APIのノードは、検索や操作のために特定の特権を必要とするデータを表現している場合のものだ。 次に、APIソースとシンクコール間の汚染された情報フローが発生するかどうかを分析する。
• 参考スコア（独自算出の注目度）: 42.28549294272344
• License:
• Abstract: Graph APIs are capable of flexibly retrieving or manipulating graph-structured data over the web. This rather novel type of APIs presents new challenges when it comes to properly securing the APIs against the usual web application security risks, e.g., broken access control. A prominent security testing approach is taint analysis, which traces tainted, i.e., security-relevant, data from sources (where tainted data is inserted) to sinks (where the use of tainted data may lead to a security risk), over the information flow in an application. We present a first systematic approach to static and dynamic taint analysis for Graph APIs focusing on broken access control. The approach comprises the following. We taint nodes in the Graph API if they represent data requiring specific privileges in order to be retrieved or manipulated, and identify API calls which are related to sources and sinks. Then, we statically analyze whether tainted information flow between API source and sink calls occurs. To this end, we model the API calls using graph transformation rules. We subsequently use critical pair analysis to automatically analyze potential dependencies between rules representing source calls and rules representing sink calls. We distinguish direct from indirect tainted information flow and argue under which conditions the CPA is able to detect not only direct, but also indirect tainted flow. The static taint analysis (i) identifies flows that need to be further reviewed, since tainted nodes may be created by an API call and used or manipulated by another API call later without having the necessary privileges, and (ii) can be used to systematically design dynamic security tests for broken access control. The dynamic taint analysis checks if potential broken access control risks detected during the static taint analysis really occur. We apply the approach to a part of the GitHub GraphQL API.
• Abstract（参考訳）: グラフAPIは、柔軟に検索またはWeb上でグラフ構造化データを操作できる。 この比較的新しいタイプのAPIは、通常のWebアプリケーションのセキュリティリスク(例えば、アクセス制御が壊れているなど)に対して、APIを適切に保護することに関して、新たな課題を提示します。 注目すべきセキュリティテストアプローチは、アプリケーション内の情報フローに対して、汚染されたデータ(すなわち、汚染されたデータが挿入される)からシンク(汚染されたデータの使用がセキュリティリスクにつながる可能性がある)にトレースする、汚染されたデータをトレースする、テイント分析(taint analysis)である。 本稿では,アクセス制御の故障に着目したグラフAPIに対して,静的および動的テナント解析のための第1の体系的アプローチを提案する。 アプローチは以下の通りである。 Graph APIのノードは、検索や操作のために特定の特権を必要とするデータを表現して、ソースやシンクに関連するAPI呼び出しを特定します。 次に,APIソースとシンクコール間の汚染情報フローが発生するかどうかを静的に解析する。 この目的のために、グラフ変換ルールを使用してAPI呼び出しをモデル化する。 その後、クリティカルペア分析を使用して、ソース呼び出しを表すルールとシンクコールを表すルール間の潜在的な依存関係を自動的に分析します。 我々は間接的汚染情報の流れと直接的に区別し、CPAが直接的だけでなく間接的汚染情報の流れも検出できる条件について議論する。 静的なテイント解析 i) ステンドノードはAPIコールによって作成され、後で他のAPIコールによって使用されるか、操作されるため、必要な特権を必要とせず、さらにレビューする必要があるフローを特定する。 (ii)は、アクセス制御を壊すための動的セキュリティテストを体系的に設計するために使用することができる。 動的テイント解析は、静的テイント解析中に検出された潜在的アクセス制御のリスクが実際に発生するかどうかをチェックする。 このアプローチをGitHub GraphQL APIの一部に適用する。

関連論文リスト

• PARIS: A Practical, Adaptive Trace-Fetching and Real-Time Malicious Behavior Detection System [6.068607290592521]
  本稿では,適応的トレースフェッチ,軽量かつリアルタイムな悪意ある行動検出システムを提案する。 具体的には、Event Tracing for Windows (ETW)で悪意ある振る舞いを監視し、悪意のあるAPIやコールスタックを選択的に収集することを学ぶ。 その結果、より広い範囲のAPIを監視し、より複雑な攻撃行動を検出することができる。
  論文  参考訳（メタデータ） (2024-11-02T14:52:04Z)
• A Classification-by-Retrieval Framework for Few-Shot Anomaly Detection to Detect API Injection Attacks [9.693391036125908]
  本稿では,2つの主要部品からなる非教師なし数発の異常検出フレームワークを提案する。 まず、FastTextの埋め込みに基づいたAPI専用の汎用言語モデルをトレーニングする。 次に,近似Nearest Neighborサーチを分類・検索手法として用いた。
  論文  参考訳（メタデータ） (2024-05-18T10:15:31Z)
• Prompt Engineering-assisted Malware Dynamic Analysis Using GPT-4 [45.935748395725206]
  GPT-4を用いた即時エンジニアリング支援型マルウェア動的解析手法を提案する。 この方法では、APIシーケンス内の各API呼び出しに対する説明テキストを作成するために、GPT-4が使用される。 BERTはテキストの表現を得るために使われ、そこからAPIシーケンスの表現を導出します。
  論文  参考訳（メタデータ） (2023-12-13T17:39:44Z)
• Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
  アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
  論文  参考訳（メタデータ） (2023-10-22T00:08:51Z)
• GLAD: Content-aware Dynamic Graphs For Log Anomaly Detection [49.9884374409624]
  GLADは、システムログの異常を検出するように設計されたグラフベースのログ異常検出フレームワークである。 システムログの異常を検出するために設計されたグラフベースのログ異常検出フレームワークであるGLADを紹介する。
  論文  参考訳（メタデータ） (2023-09-12T04:21:30Z)
• Instance Relation Graph Guided Source-Free Domain Adaptive Object Detection [79.89082006155135]
  教師なしドメイン適応(Unsupervised Domain Adaptation, UDA)は、ドメインシフトの問題に取り組むための効果的なアプローチである。 UDAメソッドは、ターゲットドメインの一般化を改善するために、ソースとターゲット表現を整列させようとする。 Source-Free Adaptation Domain (SFDA)設定は、ソースデータへのアクセスを必要とせずに、ターゲットドメインに対してソーストレーニングされたモデルを適用することで、これらの懸念を軽減することを目的としている。
  論文  参考訳（メタデータ） (2022-03-29T17:50:43Z)
• Using sequential drift detection to test the API economy [4.056434158960926]
  APIエコノミーは、API(高度なプログラミングインターフェース)の広範な統合を指す。 使用パターンを監視し、システムがこれまで使用されなかった方法でいつ使用されているかを特定することが望ましい。 この作業では、ヒストグラムとAPI使用のコールグラフの両方を分析し、システムの利用パターンがシフトしたかどうかを判断する。
  論文  参考訳（メタデータ） (2021-11-09T13:24:19Z)
• Towards an Automated Pipeline for Detecting and Classifying Malware through Machine Learning [0.0]
  Windows Portable Executable File (PE) を分類できるマルウェア分類パイプラインを提案する。 入力PEサンプルが与えられた場合、悪意または良性のいずれかに分類される。 悪意のある場合、パイプラインは脅威タイプ、家族、行動を確立するためにさらに分析する。
  論文  参考訳（メタデータ） (2021-06-10T10:07:50Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)
• Learning to map source code to software vulnerability using code-as-a-graph [67.62847721118142]
  セキュリティの観点からソースコードのニュアンス学習におけるグラフニューラルネットワークの適用性について検討する。 我々は,既存のコード・アズ・フォトや線形シーケンスの符号化手法よりも,脆弱性検出に有効なコード・アズ・グラフの符号化法を示す。
  論文  参考訳（メタデータ） (2020-06-15T16:05:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。