論文の概要: Anota: Identifying Business Logic Vulnerabilities via Annotation-Based Sanitization

• arxiv url: http://arxiv.org/abs/2512.20705v1
• Date: Tue, 23 Dec 2025 19:08:56 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-25 19:43:21.574691
• Title: Anota: Identifying Business Logic Vulnerabilities via Annotation-Based Sanitization
• Title（参考訳）: Anota: アノテーションベースのサニタイズによるビジネス論理の脆弱性の特定
• Authors: Meng Wang, Philipp Görz, Joschua Schilling, Keno Hassler, Liwei Guo, Thorsten Holz, Ali Abbasi,
• Abstract要約: ANOTAは,新規なヒトインザループサニタイザフレームワークである。 ANOTAは、ドメイン固有の知識を、アプリケーションの意図した振る舞いを定義する軽量アノテーションとしてエンコードする。 実行時実行モニタがプログラムの動作を観察し、アノテーションによって定義されたポリシーと比較する。
• 参考スコア（独自算出の注目度）: 17.696239391117604
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Detecting business logic vulnerabilities is a critical challenge in software security. These flaws come from mistakes in an application's design or implementation and allow attackers to trigger unintended application behavior. Traditional fuzzing sanitizers for dynamic analysis excel at finding vulnerabilities related to memory safety violations but largely fail to detect business logic vulnerabilities, as these flaws require understanding application-specific semantic context. Recent attempts to infer this context, due to their reliance on heuristics and non-portable language features, are inherently brittle and incomplete. As business logic vulnerabilities constitute a majority (27/40) of the most dangerous software weaknesses in practice, this is a worrying blind spot of existing tools. In this paper, we tackle this challenge with ANOTA, a novel human-in-the-loop sanitizer framework. ANOTA introduces a lightweight, user-friendly annotation system that enables users to directly encode their domain-specific knowledge as lightweight annotations that define an application's intended behavior. A runtime execution monitor then observes program behavior, comparing it against the policies defined by the annotations, thereby identifying deviations that indicate vulnerabilities. To evaluate the effectiveness of ANOTA, we combine ANOTA with a state-of-the-art fuzzer and compare it against other popular bug finding methods compatible with the same targets. The results show that ANOTA+FUZZER outperforms them in terms of effectiveness. More specifically, ANOTA+FUZZER can successfully reproduce 43 known vulnerabilities, and discovered 22 previously unknown vulnerabilities (17 CVEs assigned) during the evaluation. These results demonstrate that ANOTA provides a practical and effective approach for uncovering complex business logic flaws often missed by traditional security testing techniques.
• Abstract（参考訳）: ビジネスロジックの脆弱性を検出することは、ソフトウェアセキュリティにおいて重要な課題である。 これらの欠陥は、アプリケーションの設計や実装のミスによって発生し、攻撃者が意図しないアプリケーションの振る舞いをトリガーすることを可能にする。 動的解析のための従来のファジングサニタイザは、メモリ安全性違反に関連する脆弱性を見つけるのに優れているが、これらの欠陥はアプリケーション固有のセマンティックコンテキストを理解する必要があるため、ビジネスロジックの脆弱性を検出するのにほとんど失敗している。 この文脈を推測しようとする最近の試みは、ヒューリスティックスや非可読言語の特徴に依存しているため、本質的に脆弱で不完全である。 ビジネスロジックの脆弱性は、実際には最も危険なソフトウェア弱点の大多数(27/40)を占めています。 本稿では,この課題を,新規なループ型サニタイザフレームワークであるANOTAを用いて解決する。 ANOTAは軽量でユーザフレンドリなアノテーションシステムを導入し、ユーザーはドメイン固有の知識を直接、アプリケーションの意図した振る舞いを定義する軽量なアノテーションとしてエンコードできる。 実行時実行モニタがプログラムの動作を観察し、アノテーションによって定義されたポリシーと比較し、脆弱性を示す逸脱を特定する。 ANOTAの有効性を評価するため,ANOTAと最先端ファジィザを組み合わせることで,同じターゲットと互換性のある他の一般的なバグ発見手法と比較する。 その結果,Anota+FUZZERの方が有効性で優れていたことが示唆された。 具体的には、Anota+FUZZERは43の既知の脆弱性をうまく再現することができ、評価中に22の既知の脆弱性(17のCVEが割り当てられている)を発見した。 これらの結果は、ANOTAが従来のセキュリティテスト技術に欠落する複雑なビジネスロジックの欠陥を明らかにするために、実用的で効果的なアプローチを提供することを示している。

関連論文リスト

• The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
  大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。 CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
  論文  参考訳（メタデータ） (2025-12-01T07:05:23Z)
• From Model to Breach: Towards Actionable LLM-Generated Vulnerabilities Reporting [43.57360781012506]
  最新のオープンウェイトモデルでさえ、最も早く報告された脆弱性シナリオに脆弱性があることが示されています。 LLMが生成する脆弱性によって引き起こされるリスクを反映した、新たな重大度指標を導入する。 最も深刻で普及している脆弱性の緩和を促進するために、PEを使用して、モデル露出(ME)スコアを定義します。
  論文  参考訳（メタデータ） (2025-11-06T16:52:27Z)
• DiffuGuard: How Intrinsic Safety is Lost and Found in Diffusion Large Language Models [50.21378052667732]
  我々は、ステップ内およびステップ間ダイナミクスという2つの異なる次元にわたるジェイルブレイク攻撃に対して、dLLM脆弱性の詳細な分析を行う。 デュアルステージアプローチによる脆弱性に対処する,トレーニング不要な防御フレームワークであるDiffuGuardを提案する。
  論文  参考訳（メタデータ） (2025-09-29T05:17:10Z)
• Weakly Supervised Vulnerability Localization via Multiple Instance Learning [46.980136742826836]
  WeAkly によるマルチプルインスタンス学習による脆弱性ローカライゼーションのための WAVES という新しい手法を提案する。 WAVESは、ある関数が脆弱かどうか(すなわち脆弱性検出)を判定し、脆弱なステートメントをピンポイントする機能を持っている。 提案手法は,文レベルの脆弱性ローカライゼーションにおいて,脆弱性検出と最先端のパフォーマンスにおいて同等のパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-09-14T15:11:39Z)
• ARMOR: Aligning Secure and Safe Large Language Models via Meticulous Reasoning [64.32925552574115]
  ARMORは、jailbreak戦略を分析し、コアインテントを抽出する、大規模な言語モデルである。 ARMORは最先端の安全性能を達成し、平均有害率は0.002であり、高度な最適化ベースのジェイルブレイクに対する攻撃成功率は0.06である。
  論文  参考訳（メタデータ） (2025-07-14T09:05:54Z)
• VulStamp: Vulnerability Assessment using Large Language Model [28.25412570467278]
  VulStampは、記述不要の脆弱性評価を容易にする、意図誘導型フレームワークである。 意図的な情報に基づいて、VulStampは脆弱性評価にプロンプトチューニングされたモデルを使用する。
  論文  参考訳（メタデータ） (2025-06-13T06:14:56Z)
• Divide and Conquer based Symbolic Vulnerability Detection [0.0]
  本稿では,シンボル実行と制御フローグラフ解析に基づく脆弱性検出手法を提案する。 提案手法では,無関係なプログラム情報を除去するために,分割・分散アルゴリズムを用いる。
  論文  参考訳（メタデータ） (2024-09-20T13:09:07Z)
• Exploring Robustness of Unsupervised Domain Adaptation in Semantic Segmentation [74.05906222376608]
  クリーンな画像とそれらの逆の例との一致を、出力空間における対照的な損失によって最大化する、逆向きの自己スーパービジョンUDA(ASSUDA)を提案する。 i) セマンティックセグメンテーションにおけるUDA手法のロバスト性は未解明のままであり, (ii) 一般的に自己スーパービジョン(回転やジグソーなど) は分類や認識などのイメージタスクに有効であるが, セグメンテーションタスクの識別的表現を学習する重要な監視信号の提供には失敗している。
  論文  参考訳（メタデータ） (2021-05-23T01:50:44Z)
• Multi-context Attention Fusion Neural Network for Software Vulnerability Identification [4.05739885420409]
  ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。 モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。 提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
  論文  参考訳（メタデータ） (2021-04-19T11:50:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。