Fugu-MT 論文翻訳(概要): Automated Testing of Broken Authentication Vulnerabilities in Web APIs with AuthREST

論文の概要: Automated Testing of Broken Authentication Vulnerabilities in Web APIs with AuthREST

arxiv url: http://arxiv.org/abs/2509.10320v1
Date: Fri, 12 Sep 2025 15:00:58 GMT
ステータス: 翻訳完了
システム内更新日: 2025-09-15 16:03:08.136137
Title: Automated Testing of Broken Authentication Vulnerabilities in Web APIs with AuthREST
Title（参考訳）: AuthRESTによるWeb APIにおけるBroken Authentication Vulnerabilitiesの自動テスト
Authors: Davide Corradini, Mariano Ceccato, Mohammad Ghafari,
Abstract要約: 我々は、壊れた認証をターゲットとしたオープンソースのセキュリティテストツールであるAuthRESTを紹介する。 AuthRESTは、クレデンシャルインストリング、パスワードのブルート強制、未確認トークン認証のためのWeb APIを自動的にテストする。
参考スコア（独自算出の注目度）: 4.709101341936703
License: http://creativecommons.org/licenses/by/4.0/
Abstract: We present AuthREST, an open-source security testing tool targeting broken authentication, one of the most prevalent API security risks in the wild. AuthREST automatically tests web APIs for credential stuffing, password brute forcing, and unchecked token authenticity. Empirical results show that AuthREST is effective in improving web API security. Notably, it uncovered previously unknown authentication vulnerabilitiesin in four public APIs.
Abstract（参考訳）: 私たちはAuthRESTというオープンソースのセキュリティテストツールを紹介します。 AuthRESTは、クレデンシャルインストリング、パスワードのブルート強制、未確認トークン認証のためのWeb APIを自動的にテストする。実証的な結果は、AuthRESTがWeb APIのセキュリティを改善するのに有効であることを示している。中でも注目すべきは、4つの公開APIで、これまで未知の認証脆弱性が発見されたことだ。

関連論文リスト

State of Passkey Authentication in the Wild: A Census of the Top 100K sites [1.5822425915135876]
Passkeyはデバイス間で同期可能なWebAuthn認証である。主要なベンダーは、OSとブラウザにパスキーを統合している。しかし、より広い範囲のWebで採用される真の範囲は、まだ不明である。
論文参考訳（メタデータ） (2026-02-16T19:28:55Z)
Rethinking Broken Object Level Authorization Attacks Under Zero Trust Principle [24.549812554065475]
Broken Object Level Authorization (BOLA)は、API Security Top 10の最大の脆弱性である。ゼロ信頼原則に基づく防衛枠組みであるBOLAZを提案する。 10のGitHubプロジェクトに関する実証研究を通じてBOLAZを検証する。
論文参考訳（メタデータ） (2025-07-03T04:40:14Z)
LlamaRestTest: Effective REST API Testing with Small Language Models [50.058600784556816]
LlamaRestTestは、2つのLLM(Large Language Models)を使って現実的なテストインプットを生成する新しいアプローチである。私たちは、GPTを使った仕様強化ツールであるRESTGPTなど、最先端のREST APIテストツールに対して、これを評価しています。私たちの研究は、REST APIテストにおいて、小さな言語モデルは、大きな言語モデルと同様に、あるいは、より良く機能することができることを示しています。
論文参考訳（メタデータ） (2025-01-15T05:51:20Z)
A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスツールであるAutoRestTestを紹介します。このアプローチでは、REST APIテストを分離可能な問題として扱い、4人のエージェントがAPI探索を最適化するために協力します。 12の現実世界のRESTサービス上でのAutoRestTestの評価は、主要な4つのブラックボックスREST APIテストツールよりも優れています。
論文参考訳（メタデータ） (2024-11-11T16:20:27Z)
FATH: Authentication-based Test-time Defense against Indirect Prompt Injection Attacks [45.65210717380502]
大規模言語モデル(LLM)は、現実世界のアプリケーションのための追加ツールとテキスト情報を備えたバックボーンとして広くデプロイされている。プロンプトインジェクション攻撃は特に脅威であり、外部のテキスト情報に悪意のあるインストラクションを注入することで、LLMを利用して攻撃者が望む答えを生成することができる。本稿では,AuThentication with Hash-based tags (FATH)という新しいテストタイム防衛戦略を紹介する。
論文参考訳（メタデータ） (2024-10-28T20:02:47Z)
DeepREST: Automated Test Case Generation for REST APIs Exploiting Deep Reinforcement Learning [5.756036843502232]
本稿では、REST APIを自動テストするための新しいブラックボックスアプローチであるDeepRESTを紹介します。深い強化学習を活用して、暗黙のAPI制約、すなわちAPIドキュメントから隠された制約を明らかにする。実験により,提案手法は高いテストカバレッジと故障検出を実現する上で極めて有効であることが示唆された。
論文参考訳（メタデータ） (2024-08-16T08:03:55Z)
Stealing Trust: Unraveling Blind Message Attacks in Web3 Authentication [6.338839764436795]
本稿では,Web3認証プロセスの脆弱性を調査し,ブラインドメッセージ攻撃と呼ばれる新たなタイプの攻撃を提案する。盲目的のメッセージ攻撃では、攻撃者はユーザーがメッセージのソースを検証できないことを利用して、ターゲットアプリケーションから盲目的にメッセージに署名するようユーザを騙します。我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。
論文参考訳（メタデータ） (2024-06-01T18:19:47Z)
Mining REST APIs for Potential Mass Assignment Vulnerabilities [1.0377683220196872]
我々は、REST API仕様をマイニングする軽量なアプローチを提案し、大量割り当てをしがちな操作と属性を特定します。 100のAPIについて予備調査を行い、25の脆弱性が見つかった。 6つのAPIで9つの真の脆弱な操作を確認した。
論文参考訳（メタデータ） (2024-05-02T09:19:32Z)
A Novel Protocol Using Captive Portals for FIDO2 Network Authentication [45.84205238554709]
FIDO2CAP: FIDO2 Captive-portal Authentication Protocolを紹介する。本研究では,FIDO2CAP認証のプロトタイプをモックシナリオで開発する。この研究は、FIDO2認証に依存する新しい認証パラダイムにネットワーク認証を適用するための最初の体系的なアプローチである。
論文参考訳（メタデータ） (2024-02-20T09:55:20Z)
Leveraging Large Language Models to Improve REST API Testing [51.284096009803406]
RESTGPTはAPI仕様を入力として、機械解釈可能なルールを抽出し、仕様内の自然言語記述からサンプルパラメータ値を生成する。評価の結果、RESTGPTはルール抽出と値生成の両方において既存の技術よりも優れています。
論文参考訳（メタデータ） (2023-12-01T19:53:23Z)
Simple Transparent Adversarial Examples [65.65977217108659]
本研究は,ロバスト性を評価するための簡易な方法として,秘密の埋め込みと透明な敵の例を紹介した。その結果、ハイリスクなアプリケーションにAPIが使用されるという深刻な脅威が生じる。
論文参考訳（メタデータ） (2021-05-20T11:54:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。