Statically Identifying XSS using Deep Learning - INRIA - Institut National de Recherche en Informatique et en Automatique Accéder directement au contenu
Communication Dans Un Congrès Année : 2021

Statically Identifying XSS using Deep Learning

Identifier statiquement des failles XSS à l'aide d'apprentissage en profondeur

Heloise Maurel
  • Fonction : Auteur
  • PersonId : 1103601
Secure Diffuse Programming
Santiago Vidal
  • Fonction : Auteur
  • PersonId : 1103602
Instituto Superior de Ingeniería de Software Tandil [Buenos Aires]
Tamara Rezk
  • Fonction : Auteur
  • PersonId : 949476
  • IdRef : 136831605
Secure Diffuse Programming

Résumé

Cross-site Scripting (XSS) is ranked first in the top 25 Most Dangerous Software Weaknesses (2020) of Common Weakness Enumeration (CWE) and places this vulnerability as the most dangerous among programming errors. In this work, we explore static approaches to detect XSS vulnerabilities using neural networks. We compare two different code representations based on Natural Language Processing (NLP) and Programming Language Processing (PLP) and experiment with models based on different neural network architectures for static analysis detection in PHP and Node.js. We train and evaluate the models using synthetic databases. Using the generated PHP and Node.js databases, we compare our results with a well-known static analyzer for PHP code, ProgPilot, and a known scanner for Node.js, AppScan static mode. Our analyzers using neural networks overcome the results of existing tools in all cases.
Cross-site Scripting (XSS) est classé au premier rang des 25 faiblesses logicielles les plus dangereuses (2020) de Common Weakness Enumeration (CWE) et place cette vulnérabilité comme la plus dangereuse parmi les erreurs de programmation. Dans ce travail, nous explorons des approches statiques pour détecter les vulnérabilités XSS à l'aide de réseaux de neurones. Nous comparons deux représentations de code différentes basées sur le traitement du langage naturel (NLP) et le traitement du langage de programmation (PLP) et nous expérimentons des modèles basés sur différentes architectures de réseaux neuronaux pour la détection d'analyse statique en PHP et Node.js. Nous formons et évaluons les modèles à l'aide de bases de données synthétiques. En utilisant les bases de données PHP et Node.js générées, nous comparons nos résultats avec un analyseur statique connu pour le code PHP, nommé Progpilot, et le mode statique d'un scanner connu pour Node.js, AppScan. Dans tous les cas, nos analyseurs utilisant des réseaux de neurones surpassent les résultats des outils existants.

Domaines

Informatique [cs] Cryptographie et sécurité [cs.CR] Intelligence artificielle [cs.AI] Apprentissage [cs.LG] Web Base de données [cs.DB]
Fichier principal
Vignette du fichier
SECRYPT_2021_53_CR.pdf (265.43 Ko) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Héloïse MAUREL  : Connectez-vous pour contacter le contributeur

https://inria.hal.science/hal-03273564

Soumis le : mardi 29 juin 2021-12:06:40

Dernière modification le : mercredi 15 mars 2023-08:58:09

Archivage à long terme le : jeudi 30 septembre 2021-18:32:41

Télécharger pour visualiser

Dates et versions

hal-03273564 , version 1 (29-06-2021)

Identifiants

  • HAL Id : hal-03273564 , version 1

Citer

Heloise Maurel, Santiago Vidal, Tamara Rezk. Statically Identifying XSS using Deep Learning. SECRYPT 2021 - 18th International Conference on Security and Cryptography, Jul 2021, Virtual, France. ⟨hal-03273564⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

INRIA INRIA2 UNIV-COTEDAZUR ANR
269 Consultations
1006 Téléchargements

Partager

Gmail Facebook X LinkedIn More