論文の概要: PUFFERDOS: Efficient and Effective Attack String Generation for Regular Expression Denial of Service Vulnerabilities
- arxiv url: http://arxiv.org/abs/2606.19654v1
- Date: Wed, 17 Jun 2026 23:38:37 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-19 18:23:39.58035
- Title: PUFFERDOS: Efficient and Effective Attack String Generation for Regular Expression Denial of Service Vulnerabilities
- Title(参考訳): PUFFERDOS: サービス脆弱性の正規表現否定のための効率的かつ効果的な攻撃文字列生成
- Authors: Shangzhi Xu, Ziqi Ding, Xiao Cheng, Yuekang Li, Nan Sun, Benjamin Turnbull, Shuangxiang Kan, Siqi Ma,
- Abstract要約: PUFFERDOSは、現実的な長さの予算で実現可能で、プログラムレベルで検証可能な攻撃入力を合成するように設計されている。
PUFFERDOSは、攻撃文字列を生成するための合成技術を実行し、ReDoS固有の合成ココリックの実行によって文字列を洗練し、検証し、実際の悪用性を保証する。
- 参考スコア(独自算出の注目度): 19.572594221284795
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: ReDoS attacks constitute a critical class of resource-exhaustion vulnerabilities. In such attacks, adversaries exploit the pathological worst-case execution behavior of regular expression (regex) engines to induce highly asymmetric computational workloads, ultimately exhausting system resources and degrading service availability. To protect systems against ReDoS attacks, numerous detection techniques have been proposed that simulate the attack process by generating attack strings to proactively exploit ReDoS vulnerabilities at the early development stage and facilitate remediation. Existing techniques broadly fall into two classes: static analyses that search for pathological regex structures, and dynamic exploration methods that synthesize candidate attack strings. However, the generated attack strings are often impractical for real-world exploitation because they usually assume unrealistic input-length budgets and do not validate the effectiveness and efficiency of the attack at the program level. Therefore, many generated strings fail to trigger vulnerable regexes when applied to real-world programs, further limiting the practical utility. To address these shortcomings, we introduce an effective and efficient attack string generator, PUFFERDOS, designed to synthesize attack inputs that are both feasible within realistic length budgets and validated at the program level, enabling effective exploitation of ReDoS vulnerabilities in real-world programs. Specifically, we first define three vulnerable patterns based on our observation and formal verification. According to the patterns, PUFFERDOS conducts a synthesis technique to generate attack strings, and then refines and validates the strings with ReDoS-specific compositional concolic execution to guarantee real-world exploitability.
- Abstract(参考訳): ReDoS攻撃はリソース消費脆弱性の重要なクラスである。
このような攻撃において、敵は正規表現(regex)エンジンの病理最悪の実行行動を利用して、高度に非対称な計算処理を誘導し、最終的にシステムリソースを浪費し、サービスの可用性を低下させる。
ReDoS攻撃からシステムを保護するために、初期開発段階でReDoS脆弱性を積極的に活用し、修復を容易にする攻撃文字列を生成することで、攻撃プロセスをシミュレートする多数の検出手法が提案されている。
既存の手法は2つのクラスに分類される: 静的解析は病理組織構造を探索し、動的探索法は候補攻撃文字列を合成する。
しかしながら、生成された攻撃文字列は、通常非現実的な入力長の予算を仮定し、プログラムレベルでの攻撃の有効性と効率を検証しないため、実世界の悪用には実用的でないことが多い。
そのため、現実のプログラムに適用された場合、多くの生成された文字列は脆弱なリジェクツをトリガーすることができず、実用性はさらに制限される。
これらの欠点に対処するために,実世界のプログラムでReDoS脆弱性を効果的に活用し,現実的な長さの予算で実現可能かつプログラムレベルで検証可能な攻撃入力を合成する,効果的で効率的な攻撃文字列生成装置PUFFERDOSを導入する。
具体的には、まず、観察と形式的検証に基づいて、3つの脆弱なパターンを定義します。
これらのパターンによると、PUFFERDOSは、攻撃文字列を生成するための合成技術を実行し、ReDoS固有の合成ココリックの実行によって文字列を洗練し、検証し、現実世界の悪用性を保証する。
関連論文リスト
- Who Pays the Price? Stakeholder-Centric Prompt Injection Benchmarking for Real-world Web Agents [93.19140872946842]
大規模言語モデル(LLM)によって駆動されるWebエージェントは、現実の環境にますますデプロイされる。
これにより、一見良質なコンテンツがエージェントの振る舞いを操作する敵の命令を埋め込む、プロンプト・インジェクション・アタックに対して脆弱になる。
実世界のWebエージェントシステムにおいて,損害を体系的に分類し,属性付けするベンチマークである textbfsysname を導入する。
論文 参考訳(メタデータ) (2026-06-11T14:12:43Z) - Provably Secure Agent Guardrail [89.79561918065122]
既存の防衛アーキテクチャは経験的セマンティックガードレールと確率論的大モデル調整器に依存している。
本稿では,論理的推論の基本的制約に基づくエージェントのための新しいセキュリティパラダイムを提案する。
論文 参考訳(メタデータ) (2026-05-28T02:12:41Z) - Beyond Algorithmic Proofs: Towards Implementation-Level Provable Security [1.338174941551702]
我々は,実世界の攻撃面に対して構造的に検証可能なレジリエンスの観点からセキュリティを定義する新しいパラダイムである,実装レベル確率セキュリティを提案する。
本稿では,ファイル破壊システムであるSEER(Secure and Efficient Encryption-based Erasure via Ransomware)について述べる。
論文 参考訳(メタデータ) (2025-08-02T01:58:06Z) - Cannot See the Forest for the Trees: Invoking Heuristics and Biases to Elicit Irrational Choices of LLMs [83.11815479874447]
本研究では,人間の認知における認知的分解と偏見に触発された新しいジェイルブレイク攻撃フレームワークを提案する。
我々は、悪意のあるプロンプトの複雑さと関連バイアスを減らし、認知的分解を用いて、プロンプトを再編成する。
また、従来の二分的成功または失敗のパラダイムを超越したランキングベースの有害度評価指標も導入する。
論文 参考訳(メタデータ) (2025-05-03T05:28:11Z) - PR-Attack: Coordinated Prompt-RAG Attacks on Retrieval-Augmented Generation in Large Language Models via Bilevel Optimization [13.751251342738225]
大規模言語モデル(LLM)は、幅広いアプリケーションで顕著な性能を示している。
それらはまた、時代遅れの知識や幻覚への感受性のような固有の制限も示している。
近年の取り組みはRAGベースのLLMのセキュリティに重点を置いているが、既存の攻撃方法は3つの重大な課題に直面している。
本稿では,少数の有毒テキストを知識データベースに導入する新しい最適化型攻撃であるPrompt-RAGアタック(PR-アタック)を提案する。
論文 参考訳(メタデータ) (2025-04-10T13:09:50Z) - ELBA-Bench: An Efficient Learning Backdoor Attacks Benchmark for Large Language Models [55.93380086403591]
生成可能な大規模言語モデルは、バックドアアタックに対して脆弱である。
$textitELBA-Bench$は、パラメータを効率的に微調整することで攻撃者がバックドアを注入できるようにする。
$textitELBA-Bench$は1300以上の実験を提供する。
論文 参考訳(メタデータ) (2025-02-22T12:55:28Z) - Robust Synthetic Data-Driven Detection of Living-Off-the-Land Reverse Shells [14.710331873072146]
LOTL(Living-off-the-land)技術は、セキュリティ運用において大きな課題となる。
セキュリティ情報およびイベント管理(SIEM)ソリューションとして,サイバー防衛システムのための堅牢な拡張フレームワークを提案する。
論文 参考訳(メタデータ) (2024-02-28T13:49:23Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。