論文の概要: Keys on Doormats: Exposed API Credentials on the Web

• arxiv url: http://arxiv.org/abs/2603.12498v2
• Date: Mon, 16 Mar 2026 02:10:30 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-17 13:51:29.06217
• Title: Keys on Doormats: Exposed API Credentials on the Web
• Title（参考訳）: Doormatsのキー: Web上のAPIクレデンシャルの公開
• Authors: Nurullah Demir, Yash Vekaria, Georgios Smaragdakis, Zakir Durumeric,
• Abstract要約: 10万ページのWebページを解析し,Web上での認証情報の公開について検討した。 以上の結果から,API認証はWeb上で広く公開されており,非常に人気で批判的なWebページも含んでいることが明らかとなった。 ウェブ固有の露光ベクトルと根本原因を特徴付け,そのほとんどはJavaScript環境に由来する。
• 参考スコア（独自算出の注目度）: 6.429650787243443
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Application programming interfaces (APIs) have become a central part of the modern IT environment, allowing developers to enrich the functionality of applications and interact with third parties such as cloud and payment providers. This interaction often occurs through authentication mechanisms that rely on sensitive credentials such as API keys and tokens that require secure handling. Exposure of these credentials can pose significant consequences to organizations, as malicious attackers can gain access to related services. Previous studies have shown exposure of these sensitive credentials in different environments such as cloud platforms and GitHub. However, the web remains unexplored. In this paper, we study exposure of credentials on the web by analyzing 10M webpages. Our findings reveal that API credentials are widely and publicly exposed on the web, including highly popular and critical webpages such as those of global banks and firmware developers. We identify 1,748 distinct credentials from 14 service providers (e.g., cloud and payment providers) across nearly 10,000 webpages. Moreover, our analysis of archived data suggest credentials to remain exposed for periods ranging from a month to several years. We characterize web-specific exposure vectors and root causes, finding that most originate from JavaScript environments. We also discuss the outcomes of our responsible disclosure efforts that demonstrated a substantial reduction in credential exposure on the web.
• Abstract（参考訳）: アプリケーションプログラミングインターフェース(API)は、現代のIT環境の中心となり、開発者はアプリケーションの機能を強化し、クラウドや支払いプロバイダのようなサードパーティと対話できるようになる。 このインタラクションは、セキュアなハンドリングを必要とするAPIキーやトークンといった機密情報に依存する認証メカニズムを通じて発生することが多い。 悪意のある攻撃者が関連するサービスにアクセスできるようになるため、これらの認証情報の公開は組織に重大な影響をもたらす可能性がある。 これまでの研究では、クラウドプラットフォームやGitHubなど、さまざまな環境において、これらのセンシティブな認証情報が暴露されていた。 しかし、ウェブは未調査のままである。 本稿では,1000万のWebページを解析し,Web上での認証情報の公開について検討する。 この結果から,グローバルバンクやファームウェア開発者など,非常に人気が高く重要なWebページを含む,API認証がWeb上で広く公開されていることが判明した。 約10,000のWebページにわたって、14のサービスプロバイダ(クラウドや支払いプロバイダなど)から1,748の認証情報を識別しています。 さらに, アーカイブデータの解析から, 1ヶ月から数年の間, 認証情報を公開し続けることが示唆された。 ウェブ固有の露光ベクトルと根本原因を特徴付け,そのほとんどはJavaScript環境に由来する。 また,Web上でのクレデンシャル・エクスポージャーの大幅な削減を実証する責任のある開示活動の結果についても論じる。

関連論文リスト

• State of Passkey Authentication in the Wild: A Census of the Top 100K sites [1.5822425915135876]
  Passkeyはデバイス間で同期可能なWebAuthn認証である。 主要なベンダーは、OSとブラウザにパスキーを統合している。 しかし、より広い範囲のWebで採用される真の範囲は、まだ不明である。
  論文  参考訳（メタデータ） (2026-02-16T19:28:55Z)
• Nested Browser-Use Learning for Agentic Information Seeking [60.775556172513014]
  情報検索(IS)エージェントは広範囲にわたる検索タスクで高いパフォーマンスを達成しているが、ツールの使用はAPIレベルのスニペット検索やURLベースのページフェッチに限られている。 我々はNested Browser-Use Learning (NestBrowse)を提案する。NestBrowseは、ネストされた構造を通してページ探索からインタラクション制御を分離する最小かつ完全なブラウザアクションフレームワークである。
  論文  参考訳（メタデータ） (2025-12-29T17:59:14Z)
• HackWorld: Evaluating Computer-Use Agents on Exploiting Web Application Vulnerabilities [20.201614123811872]
  HackWorldは、視覚的インタラクションを通じてWebアプリケーションの脆弱性を悪用するコンピュータ利用エージェントの機能を評価するための最初のフレームワークである。 11のフレームワークと7つの言語にまたがる36の現実世界のアプリケーションが含まれており、インジェクションの脆弱性、認証バイパス、安全でない入力処理といった現実的な欠陥を特徴としている。 複雑なWebインターフェースをナビゲートしながら、これらの弱点を特定し、活用するためのCUAの能力をテストする。
  論文  参考訳（メタデータ） (2025-10-14T06:52:15Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• Beyond Browsing: API-Based Web Agents [58.39129004543844]
  APIベースのエージェントはWebArenaの実験でWebブラウザエージェントを上回っている。 ハイブリッドエージェント(Hybrid Agents)は、タスク全体にわたって、ほぼ均一にパフォーマンスを向上する。 結果から,APIが利用可能であれば,Webブラウジングのみに依存するという,魅力的な代替手段が提示されることが強く示唆された。
  論文  参考訳（メタデータ） (2024-10-21T19:46:06Z)
• Non-Fungible Programs: Private Full-Stack Applications for Web3 [0.3683202928838613]
  本稿では,自己完結型アプリケーションを開発するためのNFPモデルを提案する。 NFPアプリケーションは分散ブロックチェーンで、Webテクノロジをベースとし、スマートコントラクトのプライベートデータベースによってバックアップされる。 コードへのアクセスとバックエンドサービスへのアクセスは、NFTオーナシップモデルに従ってスマートコントラクトによって制御され、保証される。
  論文  参考訳（メタデータ） (2024-04-24T03:46:18Z)
• Assessing Web Fingerprinting Risk [2.144574168644798]
  ブラウザー指紋(Browser fingerprints)は、クッキーが無効になってもユーザーの秘密の追跡を可能にするデバイス固有の識別子である。 これまでの研究は、指紋認証のリスクを定量化するための鍵となる指標として、情報の尺度であるエントロピーを確立してきた。 我々は,先行作業の限界に対処するブラウザのフィンガープリントについて,最初の研究を行った。
  論文  参考訳（メタデータ） (2024-03-22T20:34:41Z)
• Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
  アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
  論文  参考訳（メタデータ） (2023-10-22T00:08:51Z)
• Reinforcement Learning on Encrypted Data [58.39270571778521]
  本稿では,DQNエージェントが,離散的かつ連続的な状態空間を持つ環境でどのように動作するかを予備的,実験的に検討する。 その結果,非決定論的暗号が存在する場合でも,エージェントは依然として小さな状態空間で学習することができるが,より複雑な環境では性能が低下することがわかった。
  論文  参考訳（メタデータ） (2021-09-16T21:59:37Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。