API仕様処理によるアクセス制御脆弱性の自動検出【JST・京大機械翻訳】

Barabanov Alexander; Dergunov Denis; Makrushin Denis; Teplov Aleksey

プレプリント

J-GLOBAL ID：202202207390778749 整理番号：22P0279993

API仕様処理によるアクセス制御脆弱性の自動検出【JST・京大機械翻訳】

Automatic detection of access control vulnerabilities via API specification processing

出版者サイト {{ this.onShowPLink() }} 複写サービスで全文入手
高度な検索・分析はJDreamⅢで

この文献はプレプリントです。プレプリントについてはこちらをご確認ください。

著者 (4件)： , , ,
資料名：
発行年： 2022年01月26日プレプリントサーバーでの情報更新日： 2022年01月26日
JST資料番号： O7000B 資料種別：プレプリント
記事区分：プレプリント発行国：アメリカ合衆国 (USA) 言語：英語 (EN)

※このプレプリント論文は学術誌に掲載済みです。なお、学術誌掲載の際には一部内容が変更されている可能性があります。

【目的】安全直接オブジェクト参照(IDOR)またはBrokenオブジェクトレベル認証(BOLA)は,現代の応用のためのアクセス制御脆弱性の重要なタイプのひとつである。その結果,攻撃者は,情報漏洩に導く認証チェックを迂回し,取入れを考慮した。主な研究目標は,システムAPI仕様を自動的に分析することを可能にし,セキュリティ非機能的要求として使える可能性のある脆弱性と攻撃ベクトルのリストを生成する,アルゴリズムとツールを与えることにより,セキュリティ設計と試験プロセスを最適化するためのアプリケーションセキュリティ建築家を支援することである。方法.IDOR脆弱性に対する攻撃のパターンを概説するため,研究および会議論文,バグボウチプログラムレポートおよび文献の他の灰色源の多声レビューを行った。これらの攻撃は,これらのグループ間の共通属性をさらに分析して,グループを構成する特徴のグループで収集される。エンドポイント特性と攻撃技術は攻撃のグループから成る。潜在的に脆弱なエンドポイントの自動発見のためのツールを実装するために,グループ特徴と既存のOpenAPI仕様の間のマッピングを実行した。結果と実際的関連性。本研究では,文献レビューに基づくIDOR/BOLA攻撃技術の体系化,実際の事例解析,およびIDOR/BOLA攻撃グループを導いた。OpenAPI仕様特性に基づくIDOR/BOLA攻撃を記述する手法を提案した。OpenAPI仕様処理に基づく潜在的IDOR/BOLA脆弱性検出のアルゴリズムを開発した。Pythonを用いてこの新しいアルゴリズムを実装し,それを評価した。結果は,アルゴリズムが弾力性があり,潜在的IDOR/BOLA脆弱性を検出するために実際に使用できることを示した。【JST・京大機械翻訳】

, , , , , , , , , , ,
, , , , 【Automatic Indexing@JST】

データ保護

, , , ,

前のページに戻る