会员服务
黑盒 · WEB · 查准率/准确率 · 多样性 · Automator ·
4 月 1 日
AutoEG: Exploiting Known Third-Party Vulnerabilities in Black-Box Web Applications
翻译:暂无翻译
Ruozhao Yang,Mingfei Cheng,Gelei Deng,Junjie Wang,Tianwei Zhang,Xiaofei Xie
Ruozhao Yang,Mingfei Cheng,Gelei Deng,Junjie Wang,Tianwei Zhang,Xiaofei Xie
from arxiv, 21 pages, 18 figures

Large-scale web applications are widely deployed with complex third-party components, inheriting security risks arising from component vulnerabilities. Security assessment is therefore required to determine whether such known vulnerabilities remain practically exploitable in real applications. Penetration testing is a widely adopted approach that validates exploitability by launching concrete attacks against known vulnerabilities in real-world black-box systems. However, existing approaches often fail to automatically generate reliable exploits, limiting their effectiveness in practical security assessment. This limitation mainly stems from two issues: (1) precisely triggering vulnerabilities with correct technical details, and (2) adapting exploits to diverse real-world deployment settings. In this paper, we propose AutoEG, a fully automated multi-agent framework for exploit generation targeting black-box web applications. AutoEG has two phases: First, AutoEG extracts precise vulnerability trigger logic from unstructured vulnerability information and encapsulates it into reusable trigger functions. Second, AutoEG uses trigger functions for concrete attack objectives and iteratively refines exploits through feedback-driven interaction with the target application. We evaluate AutoEG on 104 real-world vulnerabilities with 29 attack objectives, resulting in 660 exploitation tasks and 55,440 exploit attempts. AutoEG achieves an average success rate of 82.41%, substantially outperforming state-of-the-art baselines, whose best performance reaches only 32.88%.


翻译:暂无翻译
0
下载
关闭预览

相关内容

在科学,计算和工程学中,黑盒是一种设备,系统或对象,可以根据其输入和输出(或传输特性)对其进行查看,而无需对其内部工作有任何了解。 它的实现是“不透明的”(黑色)。 几乎任何事物都可以被称为黑盒:晶体管,引擎,算法,人脑,机构或政府。为了使用典型的“黑匣子方法”来分析建模为开放系统的事物,仅考虑刺激/响应的行为,以推断(未知)盒子。 该黑匣子系统的通常表示形式是在该方框中居中的数据流程图。黑盒的对立面是一个内部组件或逻辑可用于检查的系统,通常将其称为白盒(有时也称为“透明盒”或“玻璃盒”)。
DeepSeek部署、使用及安全深度报告(附PPT下载)
DeepSeek部署、使用及安全深度报告(附PPT下载)
专知会员服务
66+阅读 · 2025年3月5日
《车联网安全标准化白皮书(2023年)》,37页pdf
《车联网安全标准化白皮书(2023年)》,37页pdf
专知会员服务
20+阅读 · 2023年12月28日
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
专知会员服务
35+阅读 · 2023年1月28日
可信互连技术白皮书,45页pdf
可信互连技术白皮书,45页pdf
专知会员服务
23+阅读 · 2023年1月17日
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
专知会员服务
65+阅读 · 2022年5月31日
《未来网络白皮书——数据中心自动驾驶网络技术白皮书,2021版》,52页,第五届未来网络发展大会组委会
《未来网络白皮书——数据中心自动驾驶网络技术白皮书,2021版》,52页,第五届未来网络发展大会组委会
专知会员服务
25+阅读 · 2022年2月16日
未来网络白皮书, 104页pdf
专知会员服务
82+阅读 · 2021年6月28日
【教程推荐】可信任深度学习,44页ppt,PDE Based Trustworthy Deep Learning
【教程推荐】可信任深度学习,44页ppt,PDE Based Trustworthy Deep Learning
专知会员服务
37+阅读 · 2020年3月14日
【CIKM 2019论文】基于关系型图卷积网络的代理发起的社会化电子商务推荐(Relation-Aware Graph Convolutional Networks for Agent-Initiated Social E-Commerce Recommendation)
【CIKM 2019论文】基于关系型图卷积网络的代理发起的社会化电子商务推荐(Relation-Aware Graph Convolutional Networks for Agent-Initiated Social E-Commerce Recommendation)
专知会员服务
56+阅读 · 2019年11月20日
Auto-Sizing the Transformer Network: Improving Speed, Efficiency, and Performance for Low-Resource Machine Translation
Auto-Sizing the Transformer Network: Improving Speed, Efficiency, and Performance for Low-Resource Machine Translation
专知会员服务
50+阅读 · 2019年10月17日
【CVPR2021】面向通用领域自适应的领域共识聚类
【CVPR2021】面向通用领域自适应的领域共识聚类
专知
24+阅读 · 2021年5月6日
【泡泡点云时空】Potree:基于Web浏览器的大规模点云渲染
【泡泡点云时空】Potree:基于Web浏览器的大规模点云渲染
泡泡机器人SLAM
58+阅读 · 2019年6月6日
Transferring Knowledge across Learning Processes
Transferring Knowledge across Learning Processes
CreateAMind
29+阅读 · 2019年5月18日
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
专知
47+阅读 · 2019年1月29日
【论文推荐】最新八篇生成对抗网络相关论文—条件翻译、RGB-D动作识别、量子生成对抗网络、语义对齐、视频摘要、视觉-文本注意力
【论文推荐】最新八篇生成对抗网络相关论文—条件翻译、RGB-D动作识别、量子生成对抗网络、语义对齐、视频摘要、视觉-文本注意力
专知
15+阅读 · 2018年5月15日
【WWW2018】网络表示学习Tutorial(附下载)
【WWW2018】网络表示学习Tutorial(附下载)
专知
12+阅读 · 2018年4月25日
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
开放知识图谱
11+阅读 · 2018年4月25日
【论文推荐】最新5篇自动问答相关论文——多关系自动问答、知识图谱联合实体和关系、生物医学问题、维基百科语料数据、多句式旅游推荐
【论文推荐】最新5篇自动问答相关论文——多关系自动问答、知识图谱联合实体和关系、生物医学问题、维基百科语料数据、多句式旅游推荐
专知
23+阅读 · 2018年1月17日
论文浅尝 | Question Answering over Freebase
论文浅尝 | Question Answering over Freebase
开放知识图谱
19+阅读 · 2018年1月9日
[深度学习] AlexNet,GoogLeNet,VGG,ResNet简化版
[深度学习] AlexNet,GoogLeNet,VGG,ResNet简化版
机器学习和数学
20+阅读 · 2017年10月13日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向移动互联网流量的行为特征和自适应分类方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
进近条件下社交感知航空自组网安全态势可靠共享方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向车载自组网Anycast的机会性网络资源多尺度优化配备机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
三维片上网络通信自适应容错方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
大规模在线社会网络社区发现及隐私保护研究
国家自然科学基金
1+阅读 · 2014年12月31日
移动互联网服务及隐私保护的理论与关键技术研究
国家自然科学基金
1+阅读 · 2014年12月31日
SimEval-IR: A Unified Toolkit and Benchmark Suite for Evaluating User Simulators and Search Sessions
Arxiv
0+阅读 · 4月30日
AndroScanner: Automated Backend Vulnerability Detection for Android Applications
Arxiv
0+阅读 · 4月15日
Analysis of Commit Signing on Github
Arxiv
0+阅读 · 4月15日
From Imitation to Discrimination: Progressive Curriculum Learning for Robust Web Navigation
Arxiv
0+阅读 · 4月14日
Powerful Training-Free Membership Inference Against Autoregressive Language Models
Arxiv
0+阅读 · 4月13日
Towards Multiparty Session Types for Highly-Concurrent and Fault-Tolerant Web Applications
Arxiv
0+阅读 · 4月8日
Triggering and Detecting Exploitable Library Vulnerability from the Client by Directed Greybox Fuzzing
Arxiv
0+阅读 · 4月5日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月2日
Leveraging Large Language Models for Trustworthiness Assessment of Web Applications
Arxiv
0+阅读 · 3月24日
A Unified Knowledge Representation and Context-aware Recommender System in Internet of Things
Arxiv
10+阅读 · 2018年5月10日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
黑盒
WEB
查准率/准确率
多样性
Automator
最新内容
DeepSeek 版Claude Code,免费小白安装教程来了!
DeepSeek 版Claude Code,免费小白安装教程来了!
专知会员服务
7+阅读 · 5月5日
【ICML Spotlight 2026】 T²PO: 不确定性引导的探索控制框架,实现稳定多轮Agentic强化学习
【ICML Spotlight 2026】 T²PO: 不确定性引导的探索控制框架,实现稳定多轮Agentic强化学习
专知会员服务
3+阅读 · 5月5日
基础模型驱动的工业智能体:技术成熟度、能力变迁与未竟之挑战
基础模型驱动的工业智能体:技术成熟度、能力变迁与未竟之挑战
专知会员服务
3+阅读 · 5月5日
《机动炮兵的演进与未来:技术进步、历史沿革与炮兵作战前瞻》
《机动炮兵的演进与未来:技术进步、历史沿革与炮兵作战前瞻》
专知会员服务
4+阅读 · 5月5日
《火炮弹药快速效能建模:提升互操作性与技术优势》(报告)
《火炮弹药快速效能建模:提升互操作性与技术优势》(报告)
专知会员服务
5+阅读 · 5月5日
《美空军条令出版物 2-0:情报(2026版)》
《美空军条令出版物 2-0:情报(2026版)》
专知会员服务
12+阅读 · 5月5日
美陆军“飞蝇陷阱5.0”项目将新兴技术交到作战人员手中
美陆军“飞蝇陷阱5.0”项目将新兴技术交到作战人员手中
专知会员服务
4+阅读 · 5月5日
帕兰提尔 Gotham:一个游戏规则改变器
帕兰提尔 Gotham:一个游戏规则改变器
专知会员服务
6+阅读 · 5月5日
【ICML 2026】用测试时训练线性化视觉Transformer:T⁵ 实现 Softmax 注意力到线性复杂度的快速转换
【ICML 2026】用测试时训练线性化视觉Transformer:T⁵ 实现 Softmax 注意力到线性复杂度的快速转换
专知会员服务
2+阅读 · 5月5日
【AAAI 2026】大模型做知识蒸馏:CMM将LLM特征拆解给小模型协同学习
【AAAI 2026】大模型做知识蒸馏:CMM将LLM特征拆解给小模型协同学习
专知会员服务
2+阅读 · 5月5日
【ICML Spotlight 2026 】NonZero:交互引导探索的多智能体蒙特卡洛树搜索
【ICML Spotlight 2026 】NonZero:交互引导探索的多智能体蒙特卡洛树搜索
专知会员服务
8+阅读 · 5月4日
【综述】 机器人学习中的世界模型:全面综述
【综述】 机器人学习中的世界模型:全面综述
专知会员服务
11+阅读 · 5月4日
伊朗的导弹-无人机行动及其对美国威慑的影响
伊朗的导弹-无人机行动及其对美国威慑的影响
专知会员服务
9+阅读 · 5月4日
《未来战术无人机系统案例研究:量身定制采办策略方法》100页报告
《未来战术无人机系统案例研究:量身定制采办策略方法》100页报告
专知会员服务
9+阅读 · 5月4日
战争贩子:2026年第一季度美国对中东潜在军售激增
战争贩子:2026年第一季度美国对中东潜在军售激增
专知会员服务
7+阅读 · 5月4日
相关VIP内容
DeepSeek部署、使用及安全深度报告(附PPT下载)
DeepSeek部署、使用及安全深度报告(附PPT下载)
专知会员服务
66+阅读 · 2025年3月5日
《车联网安全标准化白皮书(2023年)》,37页pdf
《车联网安全标准化白皮书(2023年)》,37页pdf
专知会员服务
20+阅读 · 2023年12月28日
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
博士论文《网络攻击组件模型的选择与组合》2022年295页PDF,阿拉巴马大学
专知会员服务
35+阅读 · 2023年1月28日
可信互连技术白皮书,45页pdf
可信互连技术白皮书,45页pdf
专知会员服务
23+阅读 · 2023年1月17日
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
专知会员服务
65+阅读 · 2022年5月31日
《未来网络白皮书——数据中心自动驾驶网络技术白皮书,2021版》,52页,第五届未来网络发展大会组委会
《未来网络白皮书——数据中心自动驾驶网络技术白皮书,2021版》,52页,第五届未来网络发展大会组委会
专知会员服务
25+阅读 · 2022年2月16日
未来网络白皮书, 104页pdf
专知会员服务
82+阅读 · 2021年6月28日
【教程推荐】可信任深度学习,44页ppt,PDE Based Trustworthy Deep Learning
【教程推荐】可信任深度学习,44页ppt,PDE Based Trustworthy Deep Learning
专知会员服务
37+阅读 · 2020年3月14日
【CIKM 2019论文】基于关系型图卷积网络的代理发起的社会化电子商务推荐(Relation-Aware Graph Convolutional Networks for Agent-Initiated Social E-Commerce Recommendation)
【CIKM 2019论文】基于关系型图卷积网络的代理发起的社会化电子商务推荐(Relation-Aware Graph Convolutional Networks for Agent-Initiated Social E-Commerce Recommendation)
专知会员服务
56+阅读 · 2019年11月20日
Auto-Sizing the Transformer Network: Improving Speed, Efficiency, and Performance for Low-Resource Machine Translation
Auto-Sizing the Transformer Network: Improving Speed, Efficiency, and Performance for Low-Resource Machine Translation
专知会员服务
50+阅读 · 2019年10月17日
热门VIP内容
相关资讯
【CVPR2021】面向通用领域自适应的领域共识聚类
【CVPR2021】面向通用领域自适应的领域共识聚类
专知
24+阅读 · 2021年5月6日
【泡泡点云时空】Potree:基于Web浏览器的大规模点云渲染
【泡泡点云时空】Potree:基于Web浏览器的大规模点云渲染
泡泡机器人SLAM
58+阅读 · 2019年6月6日
Transferring Knowledge across Learning Processes
Transferring Knowledge across Learning Processes
CreateAMind
29+阅读 · 2019年5月18日
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
【AAAI2019教程】面向隐私安全保密的联邦学习与迁移学习,101页pdf
专知
47+阅读 · 2019年1月29日
【论文推荐】最新八篇生成对抗网络相关论文—条件翻译、RGB-D动作识别、量子生成对抗网络、语义对齐、视频摘要、视觉-文本注意力
【论文推荐】最新八篇生成对抗网络相关论文—条件翻译、RGB-D动作识别、量子生成对抗网络、语义对齐、视频摘要、视觉-文本注意力
专知
15+阅读 · 2018年5月15日
【WWW2018】网络表示学习Tutorial(附下载)
【WWW2018】网络表示学习Tutorial(附下载)
专知
12+阅读 · 2018年4月25日
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
论文浅尝 | 利用 RNN 和 CNN 构建基于 FreeBase 的问答系统
开放知识图谱
11+阅读 · 2018年4月25日
【论文推荐】最新5篇自动问答相关论文——多关系自动问答、知识图谱联合实体和关系、生物医学问题、维基百科语料数据、多句式旅游推荐
【论文推荐】最新5篇自动问答相关论文——多关系自动问答、知识图谱联合实体和关系、生物医学问题、维基百科语料数据、多句式旅游推荐
专知
23+阅读 · 2018年1月17日
论文浅尝 | Question Answering over Freebase
论文浅尝 | Question Answering over Freebase
开放知识图谱
19+阅读 · 2018年1月9日
[深度学习] AlexNet,GoogLeNet,VGG,ResNet简化版
[深度学习] AlexNet,GoogLeNet,VGG,ResNet简化版
机器学习和数学
20+阅读 · 2017年10月13日
相关论文
SimEval-IR: A Unified Toolkit and Benchmark Suite for Evaluating User Simulators and Search Sessions
Arxiv
0+阅读 · 4月30日
AndroScanner: Automated Backend Vulnerability Detection for Android Applications
Arxiv
0+阅读 · 4月15日
Analysis of Commit Signing on Github
Arxiv
0+阅读 · 4月15日
From Imitation to Discrimination: Progressive Curriculum Learning for Robust Web Navigation
Arxiv
0+阅读 · 4月14日
Powerful Training-Free Membership Inference Against Autoregressive Language Models
Arxiv
0+阅读 · 4月13日
Towards Multiparty Session Types for Highly-Concurrent and Fault-Tolerant Web Applications
Arxiv
0+阅读 · 4月8日
Triggering and Detecting Exploitable Library Vulnerability from the Client by Directed Greybox Fuzzing
Arxiv
0+阅读 · 4月5日
Contextualizing Sink Knowledge for Java Vulnerability Discovery
Arxiv
0+阅读 · 4月2日
Leveraging Large Language Models for Trustworthiness Assessment of Web Applications
Arxiv
0+阅读 · 3月24日
A Unified Knowledge Representation and Context-aware Recommender System in Internet of Things
Arxiv
10+阅读 · 2018年5月10日
相关基金
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向移动互联网流量的行为特征和自适应分类方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
进近条件下社交感知航空自组网安全态势可靠共享方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
面向车载自组网Anycast的机会性网络资源多尺度优化配备机理研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
三维片上网络通信自适应容错方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
大规模在线社会网络社区发现及隐私保护研究
国家自然科学基金
1+阅读 · 2014年12月31日
移动互联网服务及隐私保护的理论与关键技术研究
国家自然科学基金
1+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top