論文の概要: Enhancing REST API Fuzzing with Access Policy Violation Checks and Injection Attacks

• arxiv url: http://arxiv.org/abs/2604.00702v1
• Date: Wed, 01 Apr 2026 10:05:23 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-02 16:44:31.933513
• Title: Enhancing REST API Fuzzing with Access Policy Violation Checks and Injection Attacks
• Title（参考訳）: アクセスポリシー違反チェックとインジェクションアタックによるREST APIファジリングの強化
• Authors: Omur Sahin, Man Zhang, Andrea Arcuri,
• Abstract要約: 本稿では,REST APIにおけるアクセスポリシー違反の検出を目的とした,新しい自動オラクルを提案する。 これらのオーラクルは既存のファザに組み込むことができ、ファザリングセッションが完了するとセキュリティテストのフェーズが実行され、これらのオーラクルが検証される。 私たちの新しいテクニックは、REST APIのための最先端のオープンソースファザであるEvoMasterの拡張として統合されています。
• 参考スコア（独自算出の注目度）: 5.029088739904413
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Due to their widespread use in industry, several techniques have been proposed in the literature to fuzz REST APIs. Existing fuzzers for REST APIs have been focusing on detecting crashes (e.g., 500 HTTP server error status code). However, security vulnerabilities can have major drastic consequences on existing cloud infrastructures. In this paper, we propose a series of novel automated oracles aimed at detecting violations of access policies in REST APIs, as well as executing traditional attacks such as SQL Injection and XSS. These novel automated oracles can be integrated into existing fuzzers, in which, once the fuzzing session is completed, a ``security testing'' phase is executed to verify these oracles. When a security fault is detected, as output our technique is able to general executable test cases in different formats, like Java, Kotlin, Python and JavaScript test suites. Our novel techniques are integrated as an extension of EvoMaster, a state-of-the-art open-source fuzzer for REST APIs. Experiments are carried out on 9 artificial examples, 8 vulnerable-by-design REST APIs with black-box testing, and 36 REST APIs from the WFD corpus with white-box testing, for a total of 52 distinct APIs. Results show that our novel oracles and their automated integration in a fuzzing process can lead to detect security issues in several of these APIs.
• Abstract（参考訳）: 業界で広く使われているため、REST APIをファッズするいくつかのテクニックが文献で提案されている。 既存のREST APIファズーは、クラッシュ(例えば、500のHTTPサーバエラーステータスコード)の検出に重点を置いている。 しかし、セキュリティ上の脆弱性は、既存のクラウドインフラストラクチャに重大な影響をもたらす可能性がある。 本稿では、REST APIにおけるアクセスポリシー違反の検出と、SQL InjectionやXSSといった従来の攻撃の実行を目的とした、新しい自動オラクルを提案する。 これらの新しい自動オーラクルは既存のファザに統合することができ、ファザリングセッションが完了すると、これらのオーラクルを検証するために‘セキュリティテスト’フェーズが実行される。 セキュリティ欠陥が検出されると、出力として、我々のテクニックは、Java、Kotlin、Python、JavaScriptテストスイートなど、さまざまなフォーマットで実行可能なテストケースを一般化することができます。 私たちの新しいテクニックは、REST APIのための最先端のオープンソースファザであるEvoMasterの拡張として統合されています。 9つの人工的な例、ブラックボックステストを備えた8つの脆弱な設計されたREST API、ホワイトボックステストを備えたWFDコーパスからの36のREST API、合計52の異なるAPIで実験が実施されている。 結果から,新たなオーラクルとファジィ処理への自動統合が,これらのAPIのセキュリティ問題の検出につながる可能性が示唆された。

関連論文リスト

• WuppieFuzz: Coverage-Guided, Stateful REST API Fuzzing [0.0]
  WuppieFuzzは、LibAFL上に構築されたオープンソースのREST APIファザである。 ホワイトボックス、グレイボックス、ブラックボックスファジングをサポートしている。
  論文  参考訳（メタデータ） (2025-12-17T16:05:39Z)
• Test Amplification for REST APIs via Single and Multi-Agent LLM Systems [1.6499388997661122]
  既存のREST APIテストスイートを増幅するために,単一エージェントとマルチエージェントのセットアップである大規模言語モデル(LLM)システムについて検討する。 本稿では, テストカバレッジ, バグ検出の有効性, 計算コストやエネルギー使用量など, 様々な側面における2つのアプローチの比較検討を行う。
  論文  参考訳（メタデータ） (2025-04-10T20:19:50Z)
• LlamaRestTest: Effective REST API Testing with Small Language Models [50.058600784556816]
  LlamaRestTestは、2つのLLM(Large Language Models)を使って現実的なテストインプットを生成する新しいアプローチである。 私たちは、GPTを使った仕様強化ツールであるRESTGPTなど、最先端のREST APIテストツールに対して、これを評価しています。 私たちの研究は、REST APIテストにおいて、小さな言語モデルは、大きな言語モデルと同様に、あるいは、より良く機能することができることを示しています。
  論文  参考訳（メタデータ） (2025-01-15T05:51:20Z)
• Your Fix Is My Exploit: Enabling Comprehensive DL Library API Fuzzing with Large Language Models [49.214291813478695]
  AIアプリケーションで広く使用されているディープラーニング(DL)ライブラリは、オーバーフローやバッファフリーエラーなどの脆弱性を含むことが多い。 従来のファジィングはDLライブラリの複雑さとAPIの多様性に悩まされている。 DLライブラリのためのLLM駆動ファジィ手法であるDFUZZを提案する。
  論文  参考訳（メタデータ） (2025-01-08T07:07:22Z)
• A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
  私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスツールであるAutoRestTestを紹介します。 このアプローチでは、REST APIテストを分離可能な問題として扱い、4人のエージェントがAPI探索を最適化するために協力します。 12の現実世界のRESTサービス上でのAutoRestTestの評価は、主要な4つのブラックボックスREST APIテストツールよりも優れています。
  論文  参考訳（メタデータ） (2024-11-11T16:20:27Z)
• FuzzTheREST: An Intelligent Automated Black-box RESTful API Fuzzer [0.0]
  この作業では、脆弱性検出にReinforcement Learning(RL)を使用しているファジィテストツールのブラックボックスAPIを導入している。 このツールは6つのユニークな脆弱性を発見し、55%のコードカバレッジを達成した。
  論文  参考訳（メタデータ） (2024-07-19T14:43:35Z)
• Exploring Behaviours of RESTful APIs in an Industrial Setting [0.43012765978447565]
  これらのAPIが示す振る舞いの例を生成するために,REST APIに共通する一連の動作特性を提案する。 これらの例は、APIの理解を深めるために(i)、自動テストケースのソースとして(ii)の両方に使用することができます。 提案手法は,システム理解と実践者によるテスト生成の源泉として考えられる例を生成することができる。
  論文  参考訳（メタデータ） (2023-10-26T11:33:11Z)
• Advanced White-Box Heuristics for Search-Based Fuzzing of REST APIs [3.3714461095047743]
  現在、EvoMasterはREST APIのホワイトボックスファジングをサポートする唯一のツールである。 私たちは、APIスキーマで不特定な制約に対処する方法など、一連の新しいホワイトボックスファズを提供します。 我々の新しい技術は、オープンソースの検索ベースのファズーEvoMasterの拡張として実装されている。
  論文  参考訳（メタデータ） (2023-09-15T12:39:01Z)
• Simple Transparent Adversarial Examples [65.65977217108659]
  本研究は,ロバスト性を評価するための簡易な方法として,秘密の埋め込みと透明な敵の例を紹介した。 その結果、ハイリスクなアプリケーションにAPIが使用されるという深刻な脅威が生じる。
  論文  参考訳（メタデータ） (2021-05-20T11:54:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。