論文の概要: Software Testing at the Network Layer: Automated HTTP API Quality Assessment and Security Analysis of Production Web Applications
- arxiv url: http://arxiv.org/abs/2602.08242v2
- Date: Wed, 11 Feb 2026 05:32:02 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-02-12 15:03:20.029738
- Title: Software Testing at the Network Layer: Automated HTTP API Quality Assessment and Security Analysis of Production Web Applications
- Title(参考訳): ネットワーク層におけるソフトウェアテスト: 自動HTTP API品質評価とプロダクションWebアプリケーションのセキュリティ分析
- Authors: Ali Hassaan Mughal, Muhammad Bilal, Noor Fatima,
- Abstract要約: 我々は18のプロダクションWebサイトの完全なHTTPトラフィックをキャプチャして分析する自動ソフトウェアテスティングフレームワークを提案する。
最小主義のサーバーレンダリングサイトは100点、コンテンツの多い商用サイトは56.8点のスコアを得た。
冗長なAPI呼び出しと欠落するキャッシュヘッダを、最も普及している2つのアンチパターンとして識別し、それぞれが67%のサイトに影響を与える。
- 参考スコア(独自算出の注目度): 1.9537983097153042
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Modern web applications rely heavily on client-side API calls to fetch data, render content, and communicate with backend services. However, the quality of these network interactions (redundant requests, missing cache headers, oversized payloads, and excessive third-party dependencies) is rarely tested in a systematic way. Moreover, many of these quality deficiencies carry security implications: missing cache headers enable cache poisoning, excessive third-party dependencies expand the supply-chain attack surface, and error responses risk leaking server internals. In this study, we present an automated software testing framework that captures and analyzes the complete HTTP traffic of 18 production websites spanning 11 categories (e-commerce, news, government, developer tools, travel, and more). Using automated browser instrumentation via Playwright, we record 108 HAR (HTTP Archive) files across 3 independent runs per page, then apply 8 heuristic-based anti-pattern detectors to produce a composite quality score (0-100) for each site. Our results reveal a wide quality spectrum: minimalist server-rendered sites achieve perfect scores of 100, while content-heavy commercial sites score as low as 56.8. We identify redundant API calls and missing cache headers as the two most pervasive anti-patterns, each affecting 67% of sites, while third-party overhead exceeds 20% on 72% of sites. One utility site makes 2,684 requests per page load, which is 447x more than the most minimal site. To protect site reputations, all identities are anonymized using category-based pseudonyms. We provide all analysis scripts, anonymized results, and reproducibility instructions as an open artifact. This work establishes an empirical baseline for HTTP API call quality across the modern web and offers a reproducible testing framework that researchers and practitioners can apply to their own applications.
- Abstract(参考訳): モダンなWebアプリケーションはクライアント側のAPIコールに大きく依存して、データをフェッチし、コンテンツをレンダリングし、バックエンドサービスと通信します。
しかしながら、これらのネットワークインタラクションの品質(冗長リクエスト、キャッシュヘッダーの欠如、過大なペイロード、過剰なサードパーティ依存)は、体系的な方法でテストされることは滅多にありません。
さらに、これらの品質欠陥の多くは、セキュリティ上の意味を持っている。キャッシュヘッダーの欠如により、キャッシュ中毒、過剰なサードパーティ依存がサプライチェーン攻撃面を拡張すること、サーバ内部をリークするエラー応答リスク。
本研究では、11のカテゴリ(eコマース、ニュース、政府、開発ツール、旅行など)にわたる18のプロダクションWebサイトの完全なHTTPトラフィックをキャプチャし、分析する自動ソフトウェアテスティングフレームワークを提案する。
Playwrightによる自動ブラウザインスツルメンテーションを使用して、ページ毎に3つの独立したランニングに108のHAR(HTTP Archive)ファイルを記録し、8つのヒューリスティックベースのアンチパターン検出器を適用して、各サイトに対する複合品質スコア(0-100)を生成します。
最小限のサーバレンダリングサイトは100点、コンテンツの多い商用サイトは56.8点のスコアを得た。
冗長なAPI呼び出しとキャッシュヘッダーの欠如は、最も普及している2つのアンチパターンであり、それぞれが67%のサイトに影響を与える一方、サードパーティのオーバーヘッドは72%のサイトで20%以上である。
あるユーティリティサイトはページロードあたり2,684リクエストを処理しており、これは最も最小限のサイトより447倍多い。
サイトの評判を保護するため、すべてのアイデンティティはカテゴリベースの偽名を使用して匿名化される。
オープンアーティファクトとして、すべての分析スクリプト、匿名化結果、再現性指示を提供する。
この作業は、現代的なWeb全体にわたるHTTP APIコール品質の実証的なベースラインを確立し、研究者や実践者が自身のアプリケーションに適用可能な再現可能なテストフレームワークを提供する。
関連論文リスト
- Characterizing Phishing Pages by JavaScript Capabilities [77.64740286751834]
本論文は,フィッシングページのグループを自動的に識別し,研究者やアナリストを支援することを目的としている。
キット検出の精度は,4,562個のフィッシングURLに展開した548個のキット群に対して97%であった。
UIの対話性と基本的なフィンガープリントは、クラスタの90%と80%に存在する普遍的なテクニックであることが分かりました。
論文 参考訳(メタデータ) (2025-09-16T15:39:23Z) - Local Frames: Exploiting Inherited Origins to Bypass Content Blockers [9.01934402761379]
ローカルフレーム(つまり、"about:blank"のようなコンテンツをロードするiframe)は、Webのセキュリティとプライバシのツールとして広く使われている。
我々は,ほとんどのプライバシツールでサポートされている4つのコア機能について検討し,それぞれがローカルフレームを使用して回避できるかどうかを判断するテストを開発した。
テストは6つの一般的なWebプライバシとセキュリティツールに適用し、19の合計で少なくとも1つの脆弱性を特定し、ローカルフレームの不正処理に関する一般的なパターンを抽出します。
論文 参考訳(メタデータ) (2025-05-31T00:07:24Z) - ChatHTTPFuzz: Large Language Model-Assisted IoT HTTP Fuzzing [18.095573835226787]
Internet of Things(IoT)デバイスは、Webインターフェース、Web VPN、その他のWebベースのサービスを通じて利便性を提供し、すべてHTTPプロトコルに依存している。
最先端のツールの多くは依然としてランダムな突然変異戦略に依存しており、HTTPプロトコルの構造を正確に理解し、多くの無効なテストケースを生成するのが困難である。
本稿では,プロトコルフィールドを自動的に解析し,サービスコードロジックを解析してプロトコル準拠のテストケースを生成する,新たなLLM誘導型IoT HTTPファジリング手法ChatHTTPFuzzを提案する。
論文 参考訳(メタデータ) (2024-11-18T10:48:53Z) - Beyond Browsing: API-Based Web Agents [58.39129004543844]
APIベースのエージェントはWebArenaの実験でWebブラウザエージェントを上回っている。
ハイブリッドエージェント(Hybrid Agents)は、タスク全体にわたって、ほぼ均一にパフォーマンスを向上する。
結果から,APIが利用可能であれば,Webブラウジングのみに依存するという,魅力的な代替手段が提示されることが強く示唆された。
論文 参考訳(メタデータ) (2024-10-21T19:46:06Z) - Securing the Web: Analysis of HTTP Security Headers in Popular Global Websites [2.7039386580759666]
調査対象のウェブサイトの半数以上(55.66%)は「F」という異常なセキュリティグレードを受けた。
これらの低いスコアは、コンテンツセキュリティポリシー(CSP)の弱い実装、HSTSガイドラインの無視、サブリソース統合(SRI)の不十分な適用など、複数の問題を露呈している。
論文 参考訳(メタデータ) (2024-10-19T01:03:59Z) - Fuzzing Frameworks for Server-side Web Applications: A Survey [3.522950356329991]
本稿では,Web APIによるWebアプリケーションテストのための最先端ファジィフレームワークについてレビューする。
我々は過去10年間に、ピアレビューされた記事のオンラインリポジトリ7件から論文を収集してきた。
論文 参考訳(メタデータ) (2024-06-05T12:45:02Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - AutoScraper: A Progressive Understanding Web Agent for Web Scraper Generation [54.17246674188208]
Webスクレイピングは、Webサイトからデータを抽出し、自動データ収集を可能にし、データ分析機能を強化し、手動のデータ入力作業を最小化する強力なテクニックである。
既存の手法では、ラッパーベースの手法は、新しいウェブサイトで直面する場合、適応性とスケーラビリティの制限に悩まされる。
本稿では,大規模言語モデル(LLM)を用いたWebスクレイパー生成のパラダイムを紹介し,多様なWeb環境をより効率的に処理できる2段階フレームワークであるAutoScraperを提案する。
論文 参考訳(メタデータ) (2024-04-19T09:59:44Z) - Neural Embeddings for Web Testing [49.66745368789056]
既存のクローラは、状態等価性を評価するために、アプリ固有のしきい値ベースのアルゴリズムに依存している。
ニューラルネットワークの埋め込みとしきい値のない分類器に基づく新しい抽象関数WEBEMBEDを提案する。
WEBEMBEDは,9つのWebアプリケーションに対する評価の結果,近距離検出により最先端技術よりも精度が高いことがわかった。
論文 参考訳(メタデータ) (2023-06-12T19:59:36Z) - EDEFuzz: A Web API Fuzzer for Excessive Data Exposures [3.5061201620029885]
Excessive Data Exposure(EDE)は2019年で3番目に重大なAPI脆弱性である。
このような問題を効果的に発見し、修正する自動化ツールが、研究や業界でもほとんどありません。
EDEFuzzと呼ばれる最初のファジィツールを構築し、EDEを体系的に検出します。
論文 参考訳(メタデータ) (2023-01-23T04:05:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。