論文の概要: Rethinking Broken Object Level Authorization Attacks Under Zero Trust Principle

• arxiv url: http://arxiv.org/abs/2507.02309v1
• Date: Thu, 03 Jul 2025 04:40:14 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-04 15:37:15.592426
• Title: Rethinking Broken Object Level Authorization Attacks Under Zero Trust Principle
• Title（参考訳）: ゼロトラスト原則下でのオブジェクトレベルの認証攻撃の再考
• Authors: Anbin Wu, Zhiyong Feng, Ruitao Feng,
• Abstract要約: Broken Object Level Authorization (BOLA)は、API Security Top 10の最大の脆弱性である。 ゼロ信頼原則に基づく防衛枠組みであるBOLAZを提案する。 10のGitHubプロジェクトに関する実証研究を通じてBOLAZを検証する。
• 参考スコア（独自算出の注目度）: 10.496870521842366
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: RESTful APIs facilitate data exchange between applications, but they also expose sensitive resources to potential exploitation. Broken Object Level Authorization (BOLA) is the top vulnerability in the OWASP API Security Top 10, exemplifies a critical access control flaw where attackers manipulate API parameters to gain unauthorized access. To address this, we propose BOLAZ, a defense framework grounded in zero trust principles. BOLAZ analyzes the data flow of resource IDs, pinpointing BOLA attack injection points and determining the associated authorization intervals to prevent horizontal privilege escalation. Our approach leverages static taint tracking to categorize APIs into producers and consumers based on how they handle resource IDs. By mapping the propagation paths of resource IDs, BOLAZ captures the context in which these IDs are produced and consumed, allowing for precise identification of authorization boundaries. Unlike defense methods based on common authorization models, BOLAZ is the first authorization-guided method that adapts defense rules based on the system's best-practice authorization logic. We validate BOLAZ through empirical research on 10 GitHub projects. The results demonstrate BOLAZ's effectiveness in defending against vulnerabilities collected from CVE and discovering 35 new BOLA vulnerabilities in the wild, demonstrating its practicality in real-world deployments.
• Abstract（参考訳）: RESTfulなAPIは、アプリケーション間のデータ交換を容易にしますが、機密性の高いリソースを潜在的に悪用します。 Broken Object Level Authorization(BOLA)はOWASP API Security Top 10の最大の脆弱性である。 これを解決するため,ゼロ信頼原則に基づく防衛フレームワークBOLAZを提案する。 BOLAZは、リソースIDのデータフローを分析し、BOLA攻撃インジェクションポイントをピンポイントし、関連する承認間隔を決定し、水平特権エスカレーションを防止する。 弊社のアプローチでは、静的なテナント追跡を利用して、APIをリソースIDの扱い方に基づいて、プロデューサとコンシューマに分類する。 リソースIDの伝搬経路をマッピングすることにより、BOLAZはこれらのIDが生成され消費されるコンテキストをキャプチャし、認証境界の正確な識別を可能にする。 共通の認証モデルに基づく防衛法とは異なり、BOLAZは、システムのベストプラクティスの認証ロジックに基づいて防衛ルールを適応する最初の認可誘導法である。 10のGitHubプロジェクトに関する実証研究を通じてBOLAZを検証する。 その結果、CVEから収集された脆弱性を防御するBOLAZの有効性を示し、現実世界のデプロイにおいて実用性を示す35の新たなBOLA脆弱性を発見した。

関連論文リスト

• Fundamental Limitations in Defending LLM Finetuning APIs [61.29028411001255]
  細調整APIの防御は、細調整攻撃を防ぐ能力に基本的に制限されていることを示す。 我々は、危険知識を隠蔽的に伝達するために、良性モデル出力のエントロピーを再利用する'ポイントワイド検出不能'アタックを構築した。 OpenAIの微調整APIに対する攻撃をテストし、有害な複数の質問に対する回答を導き出すことに成功しました。
  論文  参考訳（メタデータ） (2025-02-20T18:45:01Z)
• Towards Copyright Protection for Knowledge Bases of Retrieval-augmented Language Models via Reasoning [58.57194301645823]
  大規模言語モデル(LLM)は、現実のパーソナライズされたアプリケーションにますます統合されている。 RAGで使用される知識基盤の貴重かつしばしばプロプライエタリな性質は、敵による不正使用のリスクをもたらす。 これらの知識基盤を保護するための透かし技術として一般化できる既存の方法は、一般的に毒やバックドア攻撃を含む。 我々は、無害な」知識基盤の著作権保護の名称を提案する。
  論文  参考訳（メタデータ） (2025-02-10T09:15:56Z)
• FATH: Authentication-based Test-time Defense against Indirect Prompt Injection Attacks [45.65210717380502]
  大規模言語モデル(LLM)は、現実世界のアプリケーションのための追加ツールとテキスト情報を備えたバックボーンとして広くデプロイされている。 プロンプトインジェクション攻撃は特に脅威であり、外部のテキスト情報に悪意のあるインストラクションを注入することで、LLMを利用して攻撃者が望む答えを生成することができる。 本稿では,AuThentication with Hash-based tags (FATH)という新しいテストタイム防衛戦略を紹介する。
  論文  参考訳（メタデータ） (2024-10-28T20:02:47Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• Mining REST APIs for Potential Mass Assignment Vulnerabilities [1.0377683220196872]
  我々は、REST API仕様をマイニングする軽量なアプローチを提案し、大量割り当てをしがちな操作と属性を特定します。 100のAPIについて予備調査を行い、25の脆弱性が見つかった。 6つのAPIで9つの真の脆弱な操作を確認した。
  論文  参考訳（メタデータ） (2024-05-02T09:19:32Z)
• OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
  API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。 本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
  論文  参考訳（メタデータ） (2022-12-13T14:28:06Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。