Fugu-MT 論文翻訳(概要): HTTP Request Synchronization Defeats Discrepancy Attacks

論文の概要: HTTP Request Synchronization Defeats Discrepancy Attacks

arxiv url: http://arxiv.org/abs/2510.09952v1
Date: Sat, 11 Oct 2025 01:42:38 GMT
ステータス: 翻訳完了
システム内更新日: 2025-10-14 18:06:29.711547
Title: HTTP Request Synchronization Defeats Discrepancy Attacks
Title（参考訳）: HTTPリクエストの同期が不一致の攻撃を防げる
Authors: Cem Topcuoglu, Kaan Onarlioglu, Steven Sprecher, Engin Kirda,
Abstract要約: 我々は,HTTP Request Synchronization と呼ばれる,この問題に対処する最初の包括的防御手法を提案する。提案方式では,標準HTTP拡張機構を用いて,各要求を完全な処理履歴で拡張する。この履歴を使用することで、すべてのプロキシサーバは、処理が以前のホップすべてと一致していることを検証することができ、不一致攻撃を排除できる。
参考スコア（独自算出の注目度）: 6.113912479606383
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Contemporary web application architectures involve many layers of proxy services that process traffic. Due to the complexity of HTTP and vendor design decisions, these proxies sometimes process a given request in different ways. Attackers can exploit these processing discrepancies to launch damaging attacks including web cache poisoning and request smuggling. Discrepancy attacks are surging, yet, there exists no systemic defense. In this work, we propose the first comprehensive defense to address this problem, called HTTP Request Synchronization. Our scheme uses standard HTTP extension mechanisms to augment each request with a complete processing history. It propagates this context through the traffic path detailing how each server hop has processed said request. Using this history, every proxy server can validate that their processing is consistent with all previous hops, eliminating discrepancy attacks. We implement our scheme for 5 popular proxy technologies, Apache, NGINX, HAProxy, Varnish, and Cloudflare, demonstrating its practical impact.
Abstract（参考訳）: 現代のWebアプリケーションアーキテクチャには、トラフィックを処理するプロキシサービスの層が数多く含まれています。 HTTPとベンダの設計決定の複雑さのため、これらのプロキシは特定のリクエストを異なる方法で処理する場合もある。攻撃者はこれらの処理不一致を利用して、Webキャッシュ中毒やリクエストの密輸を含む有害な攻撃を起動することができる。異例の攻撃は増えているが、体系的な防御は存在しない。本稿では,HTTP Request Synchronization と呼ばれる,この問題に対処する最初の包括的防御手法を提案する。提案方式では,標準HTTP拡張機構を用いて,各要求を完全な処理履歴で拡張する。それぞれのサーバホップが要求をどのように処理したかを詳述するトラフィックパスを通じて、このコンテキストを伝搬する。この履歴を使用することで、すべてのプロキシサーバは、処理が以前のホップすべてと一致していることを検証することができ、不一致攻撃を排除できる。我々は、Apache、NGINX、HAProxy、Varnish、Cloudflareの5つの一般的なプロキシ技術のためのスキームを実装し、その実践的な影響を示しています。

関連論文リスト

Streamlining HTTP Flooding Attack Detection through Incremental Feature Selection [0.3277163122167433]
本稿では,そのような攻撃を検知する手法を提案する。 INFS-MICCは、非常に関連性が高く独立した機能サブセットのサブセットを特定するのに役立つ。
論文参考訳（メタデータ） (2025-05-20T06:19:03Z)
WAFFLED: Exploiting Parsing Discrepancies to Bypass Web Application Firewalls [4.490124817524261]
Webアプリケーションファイアウォール(WAF)の運用は防御を損なう可能性がある。我々は、相違点を明らかにすることによって、WAFをバイパスする革新的なアプローチを提案する。我々は,5つの有名なWAFの1207バイパスを同定し,確認した。
論文参考訳（メタデータ） (2025-03-13T19:56:29Z)
SecAlign: Defending Against Prompt Injection with Preference Optimization [52.48001255555192]
敵のプロンプトは外部のデータソースに注入され、システムの意図した命令をオーバーライドし、悪意のある命令を実行する。我々は、好みの最適化技術に基づくSecAlignと呼ばれる新しいディフェンスを提案する。本手法は,訓練中に見られたものよりもはるかに高度な攻撃に対しても,様々なプロンプトインジェクションの成功率を10%に下げる。
論文参考訳（メタデータ） (2024-10-07T19:34:35Z)
The HTTP Garden: Discovering Parsing Vulnerabilities in HTTP/1.1 Implementations by Differential Fuzzing of Request Streams [7.012240324005978]
HTTP/1.1で不一致を解析することは、Webサーバに対する数多くの攻撃の基盤となっている。我々のシステムであるHTTP Gardenは、元のサーバの解釈とHTTPリクエストのゲートウェイサーバの変換の両方を調べます。私たちのツールを使って、人気のあるWebサーバで100以上のHTTPパースバグを発見し、報告しました。
論文参考訳（メタデータ） (2024-05-28T01:48:05Z)
Formalizing and Benchmarking Prompt Injection Attacks and Defenses [59.57908526441172]
本稿では,迅速なインジェクション攻撃を形式化するフレームワークを提案する。フレームワークに基づいて、既存のものを組み合わせることで、新たな攻撃を設計します。我々の研究は、将来のプロンプトインジェクション攻撃と防御を定量的に評価するための共通のベンチマークを提供する。
論文参考訳（メタデータ） (2023-10-19T15:12:09Z)
Preprocessors Matter! Realistic Decision-Based Attacks on Machine Learning Systems [56.64374584117259]
決定に基づく攻撃は、ハードラベルクエリのみを作成することによって、機械学習(ML)モデルに対する逆例を構築する。我々は,(i)プリプロセッサをリバースエンジニアリングし,(ii)この抽出した情報を用いてエンド・ツー・エンド・システムを攻撃する手法を開発した。我々のプリプロセッサ抽出法は数百のクエリしか必要とせず、我々のプリプロセッサ・アウェア・アタックはモデルのみを攻撃する場合と同じ効果を回復する。
論文参考訳（メタデータ） (2022-10-07T03:10:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。