TEStabiliTy pAttern-driven weB appLication sEcurity and privacy testing

Raze to the Ground: Query-Efficient Adversarial HTML Attacks on Machine-Learning Phishing Webpage Detectors (s’ouvre dans une nouvelle fenêtre)

Auteurs: Biagio Montaruli, Luca Demetrio, Maura Pintor, Luca Compagna, Davide Balzarotti, Battista Biggio
Publié dans: Proceedings of the 16th ACM Workshop on Artificial Intelligence and Security, 2024
Éditeur: ACM
DOI: 10.1145/3605764.3623920

FUZZILLI: Fuzzing for JavaScript JIT Compiler Vulnerabilities (s’ouvre dans une nouvelle fenêtre)

Auteurs: Samuel Groß, Simon Koch, Lukas Bernhard, Thorsten Holz, Martin Johns
Publié dans: Proceedings 2023 Network and Distributed System Security Symposium, 2023
Éditeur: Internet Society
DOI: 10.14722/ndss.2023.24290

Poster: The Risk of Insufficient Isolation of Database Transactions in Web Applications (s’ouvre dans une nouvelle fenêtre)

Auteurs: Simon Koch, Malte Wessels, David Klein, Martin Johns
Publié dans: Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security, Numéro 202, 2024, Page(s) 3576-3578
Éditeur: ACM
DOI: 10.1145/3576915.3624394

Keeping Privacy Labels Honest (s’ouvre dans une nouvelle fenêtre)

Auteurs: Simon Koch (Technische Universität Braunschweig, Institute for Application Security), Malte Wessels (Technische Universität Braunschweig, Institute for Application Security), Benjamin Altpeter (Datenanfragen.de e. V.), Madita Olvermann (Technische Universität Braunschweig, Industrial/Organizational and Social Psychology), Martin Johns (Technische Universität Braunschweig, Institute for Applica
Publié dans: Proceedings on Privacy Enhancing Technologies Symposium, Numéro Volume: 2022 Numéro: 4, 2022, Page(s) Pages: 486–506
Éditeur: Privacy Enhancing Technologies Board
DOI: 10.56553/popets-2022-0119

Testability Tarpits: the Impact of Code Patterns on the Security Testing of Web Applications (s’ouvre dans une nouvelle fenêtre)

Auteurs: Feras Al Kassar, Giulia Clerici, Luca Compagna, Davide Balzarotti, Fabian Yamaguchi
Publié dans: Proceedings 2022 Network and Distributed System Security Symposium, 2023
Éditeur: Internet Society
DOI: 10.14722/ndss.2022.24150

Hand Sanitizers in the Wild: A Large-scale Study of Custom JavaScript Sanitizer Functions (s’ouvre dans une nouvelle fenêtre)

Auteurs: Klein, David and Barber, Thomas and Bensalim, Souphiane and Stock, Ben and Johns, Martin
Publié dans: EuroS&P IEEE European Symposium on Security and Privacy, 2022
Éditeur: IEEE
DOI: 10.1109/eurosp53844.2022.00023

General Data Protection Runtime: Enforcing Transparent GDPR Compliance for Existing Applications (s’ouvre dans une nouvelle fenêtre)

Auteurs: David Klein, Benny Rolle, Thomas Barber, Manuel Karl, Martin Johns
Publié dans: Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security, 2024, Page(s) 3343-3357
Éditeur: ACM
DOI: 10.1145/3576915.3616604

Domain and Website Attribution beyond WHOIS (s’ouvre dans une nouvelle fenêtre)

Auteurs: Silvia Sebastián, Raluca-Georgia Diugan, Juan Caballero, Iskander Sanchez-Rola, Leyla Bilge
Publié dans: Annual Computer Security Applications Conference, 2023, Page(s) 124-137
Éditeur: ACM
DOI: 10.1145/3627106.3627190

Exploring Current and Future Research Directions on XS-Leaks through an Extended Formal Model. (s’ouvre dans une nouvelle fenêtre)

Auteurs: Tom Van Goethem, Gertjan Franken, Iskander Sanchez-Rola, David Dworken, and Wouter Joosen
Publié dans: Proceedings of the 2022 ACM on Asia Conference on Computer and Communications Security (ASIA CCS '22), 2022, Page(s) 784–798
Éditeur: Association for Computing Machinery
DOI: 10.1145/3488932.3517416

Scripted Henchmen: Leveraging XS-Leaks for Cross-Site Vulnerability Detection (s’ouvre dans une nouvelle fenêtre)

Auteurs: Tom Van Goethem, Iskander Sanchez-Rola, Wouter Joosen
Publié dans: 2023 IEEE Security and Privacy Workshops (SPW), Numéro 7, 2024, Page(s) 371-383
Éditeur: IEEE
DOI: 10.1109/spw59333.2023.00038

The OK Is Not Enough: A Large Scale Study of Consent Dialogs in Smartphone Applications

Auteurs: Koch, Simon; Altpeter, Benjamin; Johns, Martin
Publié dans: 32nd USENIX Security Symposium (USENIX Security 23), 2023, Page(s) 5467-5484
Éditeur: USENIX Association

When Sally Met Trackers: Web Tracking From the Users' Perspective

Auteurs: Savino Dambra, Iskander Sanchez-Rola, Leyla Bilge, Davide Balzarotti
Publié dans: 31th USENIX Security Symposium (USENIX Security 22)}, 2022, Page(s) 2189--2206, ISBN 978-1-939133-31-1
Éditeur: USENIX Association

Testability Tarpits: the Impact of Code Patterns on the Security Testing of Web Applications

Auteurs: Feras Al Kassar (SAP Security Research), Giulia Clerici (SAP Security Research), Luca Compagna (SAP Security Research), Davide Balzarotti (EURECOM), Fabian Yamaguchi (ShiftLeft Inc)
Publié dans: NDSS Symposium 2022, 2022
Éditeur: Internet Society

Poster: Analysis of User Uniqueness on LinkedIn Based on Publicly Available Non-PII (s’ouvre dans une nouvelle fenêtre)

Auteurs: Ángel Merino, José González-Cabañas, Ángel Cuevas, Rubén Cuevas
Publié dans: Proceedings of the 2023 ACM on Internet Measurement Conference, 2024, Page(s) 726-727
Éditeur: ACM
DOI: 10.1145/3618257.3625000

{WHIP}: Improving Static Vulnerability Detection in Web Application by Forcing tools to Collaborate

Auteurs: Al-Kassar, Feras; Compagna, Luca; Balzarotti, Davide
Publié dans: 32nd USENIX Security Symposium (USENIX Security 23), 2023, Page(s) 6079-6096
Éditeur: USENIX Association

Unique on Facebook: formulation and evidence of (nano)targeting individual users with non-PII data (s’ouvre dans une nouvelle fenêtre)

Auteurs: González-Cabañas, José ; Cuevas, Ángel ; Cuevas, Rubén ; López-Fernández, Juan ; García, David
Publié dans: ACM Internet Measurement Conference (IMC '21), 2021
Éditeur: Association for Computing Machinery
DOI: 10.1145/3487552.3487861

Analysis and Implementation of Nanotargeting on LinkedIn Based on Publicly Available Non-PII (s’ouvre dans une nouvelle fenêtre)

Auteurs: Ángel Merino, José González-Cabañas, Ángel Cuevas, Rubén Cuevas
Publié dans: Proceedings of the CHI Conference on Human Factors in Computing Systems, Numéro 671, 2024, Page(s) 1-22
Éditeur: ACM
DOI: 10.1145/3613904.3642107

Proceedings of 45th IEEE Symposium on Security and Privacy

Auteurs: Khodayari, Soheil; Barber, Thomas; Pellegrino, Giancarlo
Publié dans: Proceedings of 45th IEEE Symposium on Security and Privacy, 2024
Éditeur: IEEE

Scamdog Millionaire: Detecting E-commerce Scams in the Wild (s’ouvre dans une nouvelle fenêtre)

Auteurs: Platon Kotzias, Kevin Roundy, Michalis Pachilakis, Iskander Sanchez-Rola, Leyla Bilge
Publié dans: Annual Computer Security Applications Conference, 2023, Page(s) 29-43
Éditeur: ACM
DOI: 10.1145/3627106.3627184

SSRF vs. Developers: A Study of SSRF-Defenses in PHP Applications

Auteurs: Wessels, Malte; Koch, Simon; Pellegrino, Giancarlo; Johns, Martin
Publié dans: 33rd USENIX Security Symposium (USENIX Security 24), 2024, Page(s) 6777-6794
Éditeur: USENEX

It’s (dom) clobbering time: Attack techniques, prevalence, and defenses

Auteurs: Khodayari, Soheil; Pellegrino, Giancarlo
Publié dans: 2023 IEEE Symposium on Security and Privacy, 2023, Page(s) 1041-1058
Éditeur: IEEE

Parse Me, Baby, One More Time: Bypassing HTML Sanitizer via Parsing Differentials

Auteurs: Klein, David; Johns, Martin
Publié dans: 2024 IEEE Symposium on Security and Privacy (SP), 2024, Page(s) 173-173
Éditeur: IEEE

Robust Machine Learning for Malware Detection over Time

Auteurs: Daniele Angioni Primo;Luca DemetrioSecondo;Maura PintorPenultimo;Battista BiggioUltimo
Publié dans: 6th Italian Conference on Cybersecurity, ITASEC 2022, 2022
Éditeur: CEUR-WS

The Fault in Our Stars: An Analysis of GitHub Stars as an Importance Metric for Web Source Code

Auteurs: Koch, Simon; Klein, David; Johns, Martin
Publié dans: Workshop on Measurements, Attacks, and Defenses for the Web (MADWeb) 2024, 2024
Éditeur: iNTERNET SOCIETY

Generating Realistic Synthetic Curricula Vitae for Machine LearningApplications under Differential Privacy

Auteurs: Andrea Bruera1, Francesco Alda, Francesco Di Cerbo3
Publié dans: PROCEEDINGS - LREC 2022 Joint Workshop Language Resources and Evaluation Conference, 2022, Page(s) 53-63, ISBN 979-10-95546-96-2
Éditeur: European Language Resources Association (ELRA)

Towards Understanding and Improving Security-Relevant Web Application Logging (s’ouvre dans une nouvelle fenêtre)

Auteurs: Merve Sahin, Noemi Daniele
Publié dans: Proceedings of the 19th ACM Asia Conference on Computer and Communications Security, Numéro 22, 2024, Page(s) 814-829
Éditeur: ACM
DOI: 10.1145/3634737.3637647

Indicators of Attack Failure: Debugging and Improving Optimization of Adversarial Examples

Auteurs: Maura Pintor, Luca Demetrio, Angelo Sotgiu, Ambra Demontis, Nicholas Carlini, Battista Biggio, Fabio Roli
Publié dans: Advances in Neural Information Processing Systems, 2022, Page(s) 23063-23076
Éditeur: Curran Associates, Inc.

Secure and explainable machine learning in Python (s’ouvre dans une nouvelle fenêtre)

Auteurs: Maura Pintor, Luca Demetrio, Angelo Sotgiu, Marco Melis, Ambra Demontis, Battista Biggio
Publié dans: SoftwareX, Numéro 23527110, 2022, ISSN 2352-7110
Éditeur: Elsevier
DOI: 10.1016/j.softx.2022.101095

Online advertisement in a pink-colored market (s’ouvre dans une nouvelle fenêtre)

Auteurs: Amir Mehrjoo, Rubén Cuevas, Ángel Cuevas
Publié dans: EPJ Data Science, Numéro 13, 2024, ISSN 2193-1127
Éditeur: Springer Nature
DOI: 10.1140/epjds/s13688-024-00473-2

A Deep Dive into the Accuracy of IP Geolocation Databases and its Impact on Online Advertising (s’ouvre dans une nouvelle fenêtre)

Auteurs: Patricia Callejo, Marco Gramaglia, Rubén Cuevas, Ángel Cuevas
Publié dans: IEEE Transactions on Mobile Computing, Numéro 22, 2024, Page(s) 4359-4373, ISSN 1536-1233
Éditeur: Institute of Electrical and Electronics Engineers
DOI: 10.1109/tmc.2022.3166785

Overprofiling Analysis on Major Internet Players (s’ouvre dans une nouvelle fenêtre)

Auteurs: Francisco Caravaca, José González-Cabañas, Ángel Cuevas, Rubén Cuevas
Publié dans: Proceedings on Privacy Enhancing Technologies, Numéro 2024, 2024, Page(s) 929-946, ISSN 2299-0984
Éditeur: Privacy Enhancing Technologies Board
DOI: 10.56553/popets-2024-0149

Estimating ideology and polarization in European countries using Facebook data (s’ouvre dans une nouvelle fenêtre)

Auteurs: Francisco Caravaca, José González-Cabañas, Ángel Cuevas, Rubén Cuevas
Publié dans: EPJ Data Science, Numéro 11, 2023, ISSN 2193-1127
Éditeur: Springer Open
DOI: 10.1140/epjds/s13688-022-00367-1

Practical Attacks on Machine Learning: A Case Study on Adversarial Windows Malware (s’ouvre dans une nouvelle fenêtre)

Auteurs: Luca Demetrio; Battista Biggio; Fabio Roli
Publié dans: IEEE Security & Privacy, 2022, Numéro 15584046, 2022, Page(s) 77-85, ISSN 1558-4046
Éditeur: IEEE
DOI: 10.1109/msec.2022.3182356

A Black-Box Privacy Analysis of Messaging Service Providers' Chat Message Processing (s’ouvre dans une nouvelle fenêtre)

Auteurs: Robin Kirchner, Simon Koch, Noah Kamangar, David Klein, Martin Johns
Publié dans: Proceedings on Privacy Enhancing Technologies, Numéro 2024, 2024, Page(s) 674-691, ISSN 2299-0984
Éditeur: Petsymposium
DOI: 10.56553/popets-2024-0099

Expanding the Measurement of Culture with a Sample of Two Billion Humans (s’ouvre dans une nouvelle fenêtre)

Auteurs: Nick Obradovich, Ömer Özak, Ignacio Martín, Ignacio Ortuño-Ortín, Edmond Awad, Manuel Cebrián, Rubén Cuevas, Klaus Desmet, Iyad Rahwan, Ángel Cuevas
Publié dans: Journal of the Royal Society Interface, 2022, ISSN 1742-5689
Éditeur: The Royal Society
DOI: 10.3386/w27827

A new methodology to measure faultlines at scale leveraging digital traces (s’ouvre dans une nouvelle fenêtre)

Auteurs: Amir Mehrjoo, Rubén Cuevas, Ángel Cuevas
Publié dans: EPJ Data Science, Numéro 11, 2023, ISSN 2193-1127
Éditeur: Springer Nature SharedIt
DOI: 10.1140/epjds/s13688-022-00350-w

Learning Type Inference for Enhanced Dataflow Analysis (s’ouvre dans une nouvelle fenêtre)

Auteurs: Lukas Seidel, Sedick David Baker Effendi, Xavier Pinho, Konrad Rieck, Brink van der Merwe, Fabian Yamaguchi
Publié dans: Lecture Notes in Computer Science, Computer Security – ESORICS 2023, 2024, Page(s) 184-203
Éditeur: Springer Nature Switzerland
DOI: 10.1007/978-3-031-51482-1_10

ModSec-Learn: Boosting ModSecurity with Machine Learning (s’ouvre dans une nouvelle fenêtre)

Auteurs: Christian Scano, Giuseppe Floris, Biagio Montaruli, Luca Demetrio, Andrea Valenza, Luca Compagna, Davide Ariu, Luca Piras, Davide Balzarotti, Battista Biggio
Publié dans: Computer Science > Machine Learning, 2024
Éditeur: arXiv e-prints
DOI: 10.48550/arxiv.2406.13547

Certified Adversarial Robustness of Machine Learning-based Malware Detectors via (De)Randomized Smoothing (s’ouvre dans une nouvelle fenêtre)

Auteurs: Daniel Gibert, Luca Demetrio, Giulio Zizzo, Quan Le, Jordi Planes, Battista Biggio
Publié dans: Computer Science > Cryptography and Security, 2024
Éditeur: arXiv e-prints
DOI: 10.48550/arxiv.2405.00392

Adversarial ModSecurity: Countering Adversarial SQL Injections with Robust Machine Learning (s’ouvre dans une nouvelle fenêtre)

Auteurs: Montaruli, Biagio; Demetrio, Luca; Valenza, Andrea; Compagna, Luca; Ariu, Davide; Piras, Luca; Balzarotti, Davide; Biggio, Battista
Publié dans: Computer Science - Machine Learning, Numéro 3, 2023
Éditeur: arXiv e-prints
DOI: 10.48550/arxiv.2308.04964

Rag and roll: An end-to-end evaluation of indirect prompt manipulations in llm-based application frameworks (s’ouvre dans une nouvelle fenêtre)

Auteurs: De Stefano, Gianluca; Pellegrino, Giancarlo; Schönherr, Lea
Publié dans: Computer Science > Cryptography and Security, 2024
Éditeur: arXiv e-prints
DOI: 10.48550/arxiv.2408.05025

AttackBench: Evaluating Gradient-based Attacks for Adversarial Examples (s’ouvre dans une nouvelle fenêtre)

Auteurs: Cinà, Antonio Emanuele; Rony, Jérôme; Pintor, Maura; Demetrio, Luca; Demontis, Ambra; Biggio, Battista; Ayed, Ismail Ben; Roli, Fabio
Publié dans: Computer Science > Machine Learning, 2024
Éditeur: arXiv preprint
DOI: 10.48550/arxiv.2404.19460