論文の概要: Testing Access-Control Configuration Changes for Web Applications

• arxiv url: http://arxiv.org/abs/2505.12770v1
• Date: Mon, 19 May 2025 06:50:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-20 14:57:11.453499
• Title: Testing Access-Control Configuration Changes for Web Applications
• Title（参考訳）: Webアプリケーションのアクセス制御設定変更をテストする
• Authors: Chengcheng Xiang, Li Zhong, Eric Mugnier, Nathaniel Nguyen, Yuanyuan Zhou, Tianyin Xu,
• Abstract要約: 本稿では、アクセス制御設定の変更をユーザがテストできるようにすべきである、と提唱する。 本稿では,ACtestと呼ばれるミニテスト環境の生産プログラムとデータとして,このようなテストを作成するための新しいアプローチを提案する。 我々は、Dockerhub上で広く使われているWebアプリケーションの193の公開構成でACtestを評価した。
• 参考スコア（独自算出の注目度）: 6.447057314199496
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Access-control misconfigurations are among the main causes of today's data breaches in web applications. However, few techniques are available to support automatic and systematic testing for access-control changes and detecting risky changes to prevent severe consequences. As a result, those critical security configurations often lack testing, or are tested manually in an ad hoc way. This paper advocates that tests should be made available for users to test access-control configuration changes. The key challenges are such tests need to be run with production environments (to reason end-to-end behavior) and need to be performance-efficient. We present a new approach to create such tests, as a mini test environment incorporating production program and data, called ACtests. ACtests report the impacts of access-control changes, namely the requests that were denied but would be allowed after a change, and vice versa. Users can validate if the changed requests are intended or not and identify potential security vulnerabilities. We evaluate ACtests with 193 public configurations of widely-used web applications on Dockerhub. ACtests detect 168 new vulnerabilities from 72 configuration images. We report them to the image maintainers: 54 of them have been confirmed and 44 have been fixed. We also conduct in-depth experiments with five real-world deployed systems, including Wikipedia and a commercial company's web proxy. Our results show that ACtests effectively and efficiently detect all the change impacts.
• Abstract（参考訳）: アクセス制御のミスコンフィグレーションは、今日のWebアプリケーションにおけるデータ漏洩の主な原因のひとつです。 しかし、アクセス制御の変更の自動的および体系的なテストをサポートし、重大な結果を防ぐためのリスクのある変更を検出する技術はほとんどない。 その結果、これらの重要なセキュリティ設定は、しばしばテストが欠如しているか、または手動でアドホックな方法でテストされる。 本稿では、アクセス制御設定の変更をユーザがテストできるようにすべきである、と提唱する。 主な課題は、(エンドツーエンドの振る舞いを推論するために)本番環境でテストを実行する必要があり、パフォーマンス効率が向上することです。 本稿では,ACtestsと呼ばれる生産プログラムとデータを組み合わせたミニテスト環境として,このようなテストを作成するための新しいアプローチを提案する。 ACtestsは、アクセス制御の変更の影響を報告している。 変更要求が意図されているかどうかを検証し、潜在的なセキュリティ脆弱性を特定することができる。 我々は、Dockerhub上で広く使われているWebアプリケーションの193の公開構成でACtestを評価した。 ACtestは72のコンフィグレーションイメージから168の新たな脆弱性を検出する。 画像保持者に報告し,54件が確認され,44件が修正された。 また、ウィキペディアや商用企業のWebプロキシを含む、現実世界の5つのデプロイシステムによる詳細な実験も行っています。 以上の結果から,ACtestはすべての変化の影響を効果的かつ効率的に検出できることがわかった。

関連論文リスト

• CANTXSec: A Deterministic Intrusion Detection and Prevention System for CAN Bus Monitoring ECU Activations [53.036288487863786]
  物理ECUアクティベーションに基づく最初の決定論的侵入検知・防止システムであるCANTXSecを提案する。 CANバスの古典的な攻撃を検知・防止し、文献では調査されていない高度な攻撃を検知する。 物理テストベッド上での解法の有効性を実証し,攻撃の両クラスにおいて100%検出精度を達成し,100%のFIAを防止した。
  論文  参考訳（メタデータ） (2025-05-14T13:37:07Z)
• Towards a New Configurable and Practical Remote Automotive Security Testing Platform [2.4618535955685625]
  我々は、車両のサイバーセキュリティテストと研究領域におけるいくつかの課題に対処する次世代のテストプラットフォームを提案する。 車両セキュリティエンジニアリングクラウド(VSEC)テストプラットフォームは、効率的な車両サイバーセキュリティテストと高度な(例えば、侵入、ファズ)テストのためのテストベッドへのアクセスを容易にする方法について詳述する。
  論文  参考訳（メタデータ） (2024-04-02T20:40:12Z)
• Security Testing of RESTful APIs With Test Case Mutation [0.0]
  本稿では、開発者が個別に各サービスを試すためのテストケースを生成するための自動アプローチを提案する。 テストケース変異アルゴリズムを提案し、4つのWebサービス構成での有効性と性能を評価した。
  論文  参考訳（メタデータ） (2024-03-06T13:31:58Z)
• Taming Timeout Flakiness: An Empirical Study of SAP HANA [47.29324864511411]
  不安定なテストは回帰テストに悪影響を及ぼします。 テストタイムアウトは、このような不安定なテストの失敗に寄与する要因のひとつです。 テストのフレキネス率は、繰り返しテストの実行回数によって49%から70%の範囲である。
  論文  参考訳（メタデータ） (2024-02-07T20:01:41Z)
• Penetration Testing and Legacy Systems [0.0]
  現在の企業ビジネスシステムの70%はレガシーアプリケーションである。 本稿は,レガシシステムを確保するために取るべき対策について,読者の理解を支援することを目的としている。
  論文  参考訳（メタデータ） (2023-12-17T19:51:22Z)
• Testaro: Efficient Ensemble Testing for Web Accessibility [0.0]
  TestaroはオープンソースのNPMパッケージで、8つのツールのアンサンブルによって定義された約650のルールでコンプライアンスをチェックする。 デモの参加者はテッサロの仕事を作り、それらを実行し、統一されたレポートを生成する。
  論文  参考訳（メタデータ） (2023-09-18T21:32:36Z)
• Towards Automatic Generation of Amplified Regression Test Oracles [44.45138073080198]
  回帰テストオラクルを増幅するためのテストオラクル導出手法を提案する。 このアプローチはテスト実行中にオブジェクトの状態を監視し、以前のバージョンと比較して、SUTの意図した振る舞いに関連する変更を検出する。
  論文  参考訳（メタデータ） (2023-07-28T12:38:44Z)
• SUPERNOVA: Automating Test Selection and Defect Prevention in AAA Video Games Using Risk Based Testing and Machine Learning [62.997667081978825]
  従来の手法では、成長するソフトウェアシステムではスケールできないため、ビデオゲームのテストはますます難しいタスクになります。 自動化ハブとして機能しながら,テスト選択と欠陥防止を行うシステム SUPERNOVA を提案する。 この直接的な影響は、未公表のスポーツゲームタイトルの55%以上のテスト時間を減らすことが観察されている。
  論文  参考訳（メタデータ） (2022-03-10T00:47:46Z)
• Auditing AI models for Verified Deployment under Semantic Specifications [65.12401653917838]
  AuditAIは、解釈可能な形式検証とスケーラビリティのギャップを埋める。 AuditAIは、画素空間の摂動のみを用いた検証の限界に対処しながら、検証と認定トレーニングのための制御されたバリエーションを得られるかを示す。
  論文  参考訳（メタデータ） (2021-09-25T22:53:24Z)
• Unsupervised Out-of-Domain Detection via Pre-trained Transformers [56.689635664358256]
  ドメイン外の入力は予測不能なアウトプットを引き起こし、時には破滅的な安全性の問題を引き起こす。 本研究は、教師なしのドメイン内データのみを用いて、ドメイン外サンプルを検出する問題に対処する。 検出精度を高めるために、ドメイン固有の2つの微調整手法が提案されている。
  論文  参考訳（メタデータ） (2021-06-02T05:21:25Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。