論文の概要: GraphQLer: Enhancing GraphQL Security with Context-Aware API Testing
- arxiv url: http://arxiv.org/abs/2504.13358v1
- Date: Thu, 17 Apr 2025 21:58:15 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-28 20:08:33.96364
- Title: GraphQLer: Enhancing GraphQL Security with Context-Aware API Testing
- Title(参考訳): GraphQLer: コンテキスト対応APIテストによるGraphQLセキュリティの強化
- Authors: Omar Tsai, Jianing Li, Tsz Tung Cheung, Lejing Huang, Hao Zhu, Jianrui Xiao, Iman Sharafaldin, Mohammad A. Tayebi,
- Abstract要約: APIは、Webアプリケーションのためのオープンソースのクエリおよび操作言語であり、APIの柔軟な代替手段を提供する。
不正なデータアクセス、DoS(DoS)攻撃、インジェクションなどの脆弱性に公開する。
既存のテストツールは、依存関係と実行コンテキストから生じるセキュリティリスクを見渡すことで、機能の正しさに重点を置いている。
本論文は,APIのコンテキスト対応型セキュリティエスカレーションテストフレームワークである。
- 参考スコア(独自算出の注目度): 12.862760373064342
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: GraphQL is an open-source data query and manipulation language for web applications, offering a flexible alternative to RESTful APIs. However, its dynamic execution model and lack of built-in security mechanisms expose it to vulnerabilities such as unauthorized data access, denial-of-service (DoS) attacks, and injections. Existing testing tools focus on functional correctness, often overlooking security risks stemming from query interdependencies and execution context. This paper presents GraphQLer, the first context-aware security testing framework for GraphQL APIs. GraphQLer constructs a dependency graph to analyze relationships among mutations, queries, and objects, capturing critical interdependencies. It chains related queries and mutations to reveal authentication and authorization flaws, access control bypasses, and resource misuse. Additionally, GraphQLer tracks internal resource usage to uncover data leakage, privilege escalation, and replay attack vectors. We assess GraphQLer on various GraphQL APIs, demonstrating improved testing coverage - averaging a 35% increase, with up to 84% in some cases - compared to top-performing baselines. Remarkably, this is achieved in less time, making GraphQLer suitable for time-sensitive contexts. GraphQLer also successfully detects a known CVE and potential vulnerabilities in large-scale production APIs. These results underline GraphQLer's utility in proactively securing GraphQL APIs through automated, context-aware vulnerability detection.
- Abstract(参考訳): GraphQLは、Webアプリケーションのためのオープンソースのデータクエリおよび操作言語であり、RESTful APIの柔軟な代替手段を提供する。
しかし、その動的実行モデルと組み込みセキュリティメカニズムの欠如は、不正なデータアクセス、DoS(DoS)攻撃、インジェクションなどの脆弱性に公開している。
既存のテストツールは、クエリの相互依存性と実行コンテキストから生じるセキュリティリスクを見越して、機能の正しさに重点を置いている。
この記事では、GraphQL API用の最初のコンテキスト対応セキュリティテストフレームワークであるGraphQLerを紹介する。
GraphQLerは依存グラフを構築して、突然変異、クエリ、オブジェクト間の関係を分析し、重要な相互依存性をキャプチャする。
関連するクエリと突然変異をチェーンして、認証と認証の欠陥、アクセス制御バイパス、リソースの誤用を明らかにする。
さらに、GraphQLerは内部リソースの使用状況を追跡して、データ漏洩、特権エスカレーション、リプレイアタックベクタなどを明らかにする。
GraphQLerをさまざまなGraphQL API上で評価し、テストカバレッジが改善された。
注目すべきなのは、これは少ない時間で実現され、GraphQLerは時間に敏感なコンテキストに適していることだ。
GraphQLerは、大規模運用APIにおける既知のCVEと潜在的な脆弱性の検出にも成功している。
これらの結果は、自動化されたコンテキスト認識の脆弱性検出を通じて、GraphQL APIを積極的に保護するGraphQLerのユーティリティを基盤としている。
関連論文リスト
- Unleashing the Power of LLMs in Dense Retrieval with Query Likelihood Modeling [69.84963245729826]
大規模言語モデル(LLM)は魅力的な意味理解能力を示している。
デンス検索は情報検索(IR)において重要な課題であり、下流タスクを再びランク付けする基盤となっている。
我々は、差別的検索器のコントラスト学習のためのより良いバックボーンを得るために、QL推定の補助的タスクを導入する。
論文 参考訳(メタデータ) (2025-04-07T16:03:59Z) - Taint Analysis for Graph APIs Focusing on Broken Access Control [42.28549294272344]
本稿では,アクセス制御の故障に着目したグラフAPIに対して,静的および動的テナント解析のための第1の体系的アプローチを提案する。
Graph APIのノードは、検索や操作のために特定の特権を必要とするデータを表現している場合のものだ。
次に、APIソースとシンクコール間の汚染された情報フローが発生するかどうかを分析する。
論文 参考訳(メタデータ) (2025-01-15T16:49:32Z) - NAT-NL2GQL: A Novel Multi-Agent Framework for Translating Natural Language to Graph Query Language [13.661054027428868]
自然言語をグラフクエリ言語に変換する新しいフレームワークであるNAT-NL2GQLを提案する。
私たちのフレームワークは、プリプロセッサエージェント、ジェネレータエージェント、Refinerエージェントの3つの相乗的エージェントで構成されています。
nGQL構文に基づく高品質なオープンソースNL2GQLデータセットの不足を踏まえ、金融市場グラフデータベースから構築されたデータセットであるStockGQLを開発した。
論文 参考訳(メタデータ) (2024-12-11T04:14:09Z) - Can Large Language Models Analyze Graphs like Professionals? A Benchmark, Datasets and Models [88.4320775961431]
グラフを処理するために,大規模言語モデル(LLM)のベンチマークであるProGraphを導入する。
その結果,現在のLCMの性能は不満足であり,最高のモデルでは36%の精度しか達成できないことがわかった。
本研究では,6つの広く使用されているグラフライブラリに基づいて,クローリングされたドキュメントと自動生成コードを含むLLM4Graphデータセットを提案する。
論文 参考訳(メタデータ) (2024-09-29T11:38:45Z) - GraphQL Adoption and Challenges: Community-Driven Insights from StackOverflow Discussions [1.3999481573773076]
APIは、クライアントサーバアーキテクチャのためのクエリ言語およびWebアプリケーションプログラミングインターフェース(API)である。
我々の結果は、クライアントとサーバがSOに関する議論を惹きつける2つのアーキテクチャレイヤであることを示している。
論文 参考訳(メタデータ) (2024-08-15T18:08:13Z) - G-Retriever: Retrieval-Augmented Generation for Textual Graph Understanding and Question Answering [61.93058781222079]
現実のテキストグラフを対象とするフレキシブルな問合せフレームワークを開発した。
一般のテキストグラフに対する最初の検索拡張生成(RAG)手法を提案する。
G-Retrieverは、このタスクをSteiner Tree最適化問題として定式化し、グラフ上でRAGを実行する。
論文 参考訳(メタデータ) (2024-02-12T13:13:04Z) - TorchQL: A Programming Framework for Integrity Constraints in Machine Learning [20.960438848942445]
本稿では、機械学習アプリケーションの正確性を評価し改善するプログラミングフレームワークであるTorchQLを紹介する。
TorchQLを使用することで、マシンラーニングモデルやデータセットに対する整合性制約を指定およびチェックするためのクエリの記述が可能になる。
我々は、自律運転においてビデオフレーム間で検出されたオブジェクトの時間的不整合を検知するなど、多様なユースケースでTorchQLを評価する。
論文 参考訳(メタデータ) (2023-08-13T05:22:49Z) - Neural Graph Reasoning: Complex Logical Query Answering Meets Graph
Databases [63.96793270418793]
複雑な論理クエリ応答(CLQA)は、グラフ機械学習の最近登場したタスクである。
ニューラルグラフデータベース(NGDB)の概念を紹介する。
NGDBはNeural Graph StorageとNeural Graph Engineで構成されている。
論文 参考訳(メタデータ) (2023-03-26T04:03:37Z) - Graph Enhanced BERT for Query Understanding [55.90334539898102]
クエリ理解は、ユーザの検索意図を探索し、ユーザが最も望まれる情報を発見できるようにする上で、重要な役割を果たす。
近年、プレトレーニング言語モデル (PLM) は様々な自然言語処理タスクを進歩させてきた。
本稿では,クエリコンテンツとクエリグラフの両方を活用可能な,グラフ強化事前学習フレームワークGE-BERTを提案する。
論文 参考訳(メタデータ) (2022-04-03T16:50:30Z) - Learning GraphQL Query Costs (Extended Version) [7.899264246319001]
本稿では,クエリコストを効率的に正確に推定する機械学習手法を提案する。
我々のフレームワークは効率的で、クエリコストを高い精度で予測し、静的解析を大きなマージンで一貫して上回っている。
論文 参考訳(メタデータ) (2021-08-25T09:18:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。