KARTAL: Web Application Vulnerability Hunting Using Large Language Models : Novel method for detecting logical vulnerabilities in web applications with finetuned Large Language Models / KARTAL: Jakt på sårbarheter i webbapplikationer med hjälp av stora språkmodeller : Ny metod för att upptäcka logiska sårbarheter i webbapplikationer med hjälp av finjusterade stora språkmodeller

Sakaoglu, Sinan

January 2023

Broken Access Control is the most serious web application security risk as published by Open Worldwide Application Security Project (OWASP). This category has highly complex vulnerabilities such as Broken Object Level Authorization (BOLA) and Exposure of Sensitive Information. Finding such critical vulnerabilities in large software systems requires intelligent and automated tools. State-of-the-art (SOTA) research including hybrid application security testing tools, algorithmic brute forcers, and artificial intelligence has shown great promise in detection. Nevertheless, there exists a gap in research for reliably identifying logical and context-dependant Broken Access Control vulnerabilities. We modeled the problem as text classification and proposed KARTAL, a novel method for web application vulnerability detection using a Large Language Model (LLM). It consists of 3 components: Fuzzer, Prompter, and Detector. The Fuzzer is responsible for methodically collecting application behavior. The Prompter processes the data from the Fuzzer and formulates a prompt. Finally, the Detector uses an LLM which we have finetuned for detecting vulnerabilities. In the study, we investigate the performance, key factors, and limitations of the proposed method. Our research reveals the need for a labeled Broken Access Control vulnerability dataset in the cybersecurity field. Thus, we custom-generate our own dataset using an auto-regressive LLM with SOTA few-shot prompting techniques. We experiment with finetuning 3 types of decoder-only pre-trained transformers for detecting 2 sophisticated vulnerabilities. Our best model attained an accuracy of 87.19%, with an F1 score of 0.82. By using hardware acceleration on a consumer-grade laptop, our fastest model can make up to 539 predictions per second. The experiments on varying the training sample size demonstrated the great learning capabilities of our model. Every 400 samples added to training resulted in an average MCC score improvement of 19.58%. Furthermore, the dynamic properties of KARTAL enable inferencetime adaption to the application domain, resulting in reduced false positives. / Brutet åtkomstkontroll är den allvarligaste säkerhetsrisken för webbapplikationer enligt Open Worldwide Application Security Project (OWASP). Denna kategori har mycket komplexa sårbarheter såsom Brutet behörighetskontroll på objektnivå (BOLA) och exponering av känslig information. Att hitta sådana kritiska sårbarheter i stora programvarusystem kräver intelligenta och automatiserade verktyg. Senaste tekniken (SOTA)-forskning, inklusive hybridverktyg för säkerhetstestning av applikationer, algoritmiska bruteforcers och artificiell intelligens, har visat stor potential för upptäckt. Trots detta finns det en lucka i forskningen när det gäller tillförlitlig identifiering av logiska och kontextberoende sårbarheter relaterade till Brutet åtkomstkontroll. Vi modellerade problemet som textklassificering och föreslog KARTAL, en ny metod för att upptäcka sårbarheter i webbapplikationer med hjälp av en stor språkmodell (LLM). Den består av 3 komponenter: Fuzzer, Prompter och Detector. Fuzzer ansvarar för att systematiskt samla in applikationsbeteende. Prompter bearbetar data från Fuzzer och formulerar en förfrågan. Slutligen använder Detector en LLM som vi har finjusterat för att upptäcka sårbarheter. I studien undersöker vi prestanda, nyckelfaktorer och begränsningar hos den föreslagna metoden. Vår forskning visar behovet av en märkt dataset för sårbarheter relaterade till Brutet åtkomstkontroll inom cybersäkerhetsområdet. Därför genererar vi anpassade dataset med hjälp av en auto-regressiv LLM med SOTA few-shot-prompting-tekniker. Vi experimenterar med att finjustera 3 typer av endast avkodare transformers som är förtränade för att upptäcka 2 sofistikerade sårbarheter. Vår bästa modell uppnådde en noggrannhet på 87.19% med en F1-poäng på 0.82. Genom att använda hårdvaruacceleration på en bärbar dator för konsumenter kan vår snabbaste modell göra upp till 539 förutsägelser per sekund. Experimenten med varierande storlek på träningsprovet visade på vår modells stora förmåga att lära sig. Varje 400 prover som lades till träningen resulterade i en genomsnittlig förbättring av MCC-poängen med 19.58%. Dessutom möjliggör de dynamiska egenskaperna hos KARTAL anpassning vid inferringstid till applikationsdomänen, vilket resulterar i färre falska positiva resultat.

Broken Access Control

Vulnerability

Large Language Models

Web Application

API

Detection

Scanner

DAST

Application Security

Brutet åtkomstkontroll

Sårbarhet

Stora språkmodeller

Webbapplikation

API

Upptäckt

Skanner

DAST

Applikationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

A Web Application for Wildfire Spread Prediction and Visualisation in Sweden Using Geospatial Data and Technology / En Webbapplikation för Förutsägelse och Visualisering av Spridning av Skogsbrand Utifrån Geospatial Data och Teknologi

Makenzius, Micael, Bylerius, Jonas

January 2022

Skogsbränder är kraftfulla naturfenomen kapabla att åstakomma omfattande skada över stora ytor och medföra omfattande kostnader för sammhället både humanitärt, ekonomiskt och miljömässigt. Det finns därför ett starkt incitament att övervaka och förutspå skogsbränders utveckling och spridning. Traditionellt används kraftfulla skrivbordsklienter för att köra den simulerings-mjukvara som förutspår skogsbränder, vilket begränsar användningsområdet för simuleringar. Webbklienter är naturligt mobila och lättanvända. Genom att flytta bearbetningen till en server överförs majoriteten av arbetet från klienten. Det här projektet utvecklar ett server-klient baserat ramverk för att simulera skogsbränder, visualisera resultatet och hantera data för användning i skogsbrandsbekämpnings och -analys arbetsflöde. Både parametrarna som skickas till servern och simuleringsresultatet som returneras till klienten. Ramverket använder en kombination av HTTPS-kommunikation och websocket-teknologi för att kommunicera data mellan klienten och server i real-time genom Django-ramverket. Brandmodellen på den Kanadensiska empiriska brandmodellen Prometheus som är implementerad i programmeringsspråket Python. Det är optimerat för det svenska klimated för att enkelt kunnas fältsättas i en webbapplikation för svenska myndigheter. Webb-applikationen är tillgänglig genom mobila och stationära enheter där ramverket beräknar och visualiserar förutspådd fortspridning av skogsbrand i realtid. Skogsbrands moduleringsmodellen av applikationen är jämförd med skogsbränderna i Enskogen och Ängra närastaden Kårböle under sommaren 2018. Noggrannhetsbedömningen av modellen påvisar att den simulerade branden tenderar att innehålla den egentliga elden men är benägen att överskatta eldspridningen. Applikationen utvärderades även genom ett formulär om applikationens funktionallitet som skickades till en provgrupp av personer som arbetar med skogsbränder eller annat relevant område. Provgruppen var nöjd med applikationen och såg ett anvädningsområde för applikationen i sitt arbetsflöde. Mycket arbete återstår för att göra applikationen fältduglig genom integration av myndigheters datatjänster och andra databaser som innehåller riskobjekt, byggnader, kraftledningar e.g. Trots detta ansågs brandingejörer inom räddningstjänster en möjlighet att använda verktygen i dess nuvarande tillstånd om simuleringsresultatet anses korrekt nog för att fungera som underlag för beslut. Detta understryker behovet av en liknande applikation, med vidare funktionalitet och integration med data-system. / Wildfires are powerful natural forces capable of causing extensive damage to large areas of lands and induce a high societal cost in both humanitarian, economic and environmental terms. As such there is a strong incentive to track and predict wildfires' development and spread. Traditionally heavy desktop clients are required to run the simulation-software required to perform wildfire spread predictions, which limits their use and versatility. Conversely, web-based clients are lightweight and versatile by design. By moving the processing of the simulation to a server the bulk of the workload is removed from the client. This project aims to produce a server-client framework for simulating wildfires, visualising the result and handling the fire data for use in the workflow of wildfire suppression and analysis. Both the parameters sent to the server and the simulation result returned to the client. It utilises a combination of HTTPS-requests and websockets-technology to communicate data and information between the client and server in real-time through the Django framework. The fire simulation is based upon the Canadian empirical fire-model Prometheus. The implementation of the algorithm were adopted in the programming language python and optimized for the Swedish climate to be easily deployed in a web-application to be used by Swedish organisations. The web-application was accessible though mobile and stationary devices where the framework calculated and visualised the progression of the wildfire in real-time. The wildfire progression model of the application was compared to the wildfires Enskogen and Ängra, close to the town of Kårböle during the summer of 2018. The accuracy assessment of the fire progression model found that the simulated wildfire progression tend to contain the observed fire and prone to overestimate the wildfires progression. The application was evaluated though a questionnaire which was answered by a sample group composed of persons working with wildfires or wildfire related fields. The sample group were satisfied by the application and broadly found that the application could be implemented into their workflow.  Much work remain to operationalise the application, such as integration of municipal data sources and other databases containing resources, risk-objects, buildings, power-lines. In spite of this Fire-engineers in emergency services state a possibility for use of the application as is, if the simulations are deemed accurate enough and provide a better basis for decision making and measures. This underlines the need of an application such as this in the field, and with further functionalities and integration's with data-systems.

Prometheus

wildfire progression

real-time

python

Django

google earth engine

Mapbox GL JS

web-application

Prometheus

skogsbrands simulering

realtid

python

Django

google earth engine

Mapbox GL JS

webbapplikation

Computer Sciences

Datavetenskap (datalogi)

Social Anthropology

Socialantropologi

Geology

Geologi

Evaluation of an Iterative Prototyping Notation for Novice Programming of Full-stack Interactive Applications

Mohebali Zadeh, Hasti, Prodan, Vlad-Andrei

January 2022

The subject of iterative prototyping with data is still in its infancy and problems arise when people with low programming skills aim to build a full-stack interactive web application on their own. This research attempts to evaluate how providing a framework with predefined notations and data structures can improve this process for novice developers. The work consists of an initial reimplementation of a model website and the evaluation of study participants with little experience in the frontend development field through the application of the Cognitive Dimensions and the Think-aloud methods. We have found that by eliminating the requirement of dealing with back-end queries through the offering of such a framework, the process of designing an interactive web application can be facilitated and hastened. There are, nevertheless, some improvements that can be made to further refine their programming experience. / Ämnet kring att framställa iterativa prototyper med data är fortfarande i sin begynnelse och problem uppstår när personer med låg kunskap i programmering har som mål att bygga en full-stack interaktiv webbapplikation. Denna forskning utvärderar hur utvecklingsprocessen kan förbättras för nya utvecklare genom att erbjuda ett ramverk med fördefinierade beteckningar och datastrukturer. Denna studie består av en implementerad modell av en webbapplikation samt utvärdering av studiedeltagare med begränsad erfarenhet inom front-end-utveckling. Utvärderingen gjordes genom användning av ramverket “Cognitive Dimensions” med tillhörande “Think-aloud”-metod. Resultatet visar att genom att eliminera krav för att hantera back-end-anrop har processen att designa en interaktiv webbapplikation kunnat underlättats och påskyndats med hjälp av ett ramverk. Resultatet identifierade även förbättringspunkter som kan implementeras för att vidare underlätta ramverkets programmeringsupplevelse för användare.

Interactive

Web application

Iterative

Framework

Novice programmers

Evaluation

Notations

Cognitive Dimensions

Think-aloud

Interaktiv

Webbapplikation

Iterativ

Ramverk

Nya utvecklare

Utvärdering

Beteckningar

Cognitive Dimensions

Think-aloud

Computer and Information Sciences

Data- och informationsvetenskap

Visualisering av svarstider mellan mobila klienter och datacenter / Visualisation of Latencies Between Mobile Clients and Datacenters

Sidenvall, Adrian, Truong, Andy, Boman, Erik, Szreder, Mikael, Lind, Oskar, Eriksson, Simon, Petersson, Simon

January 2015

Rapporten är en sammanställning av gruppens samlade erfarenheter och lärdomar av ett projekt vars syfte var att utveckla ett verktyg som ska visualisera svarstider mellan mobila klienter och datacenter. Genom att använda kontinuerlig prototypning har gruppen kunnat arbeta på ett användarna sätt för att uppfylla kundens verkliga behov. För att uppnå detta användes utvecklingsmetodiken Kanban. Under projektets gång anpassades metodiken för att bättra passa in i arbetet. Projektets användartester har lett till sammanfattande erfarenheter om visualisering av data. Visualiseringar som projektgruppen ansetts tydliga uppfattades inte alltid på samma sätt av användarna. Att visualisera flera parametrar på en världskarta anses vara problematiskt då kartan i sig endast består av länder. För visualisering av flera parametrar måste då även externa användas, exempelvis cirklar eller andra former.

visualisation

visualization

map

world

datacenter

data

center

webb

kanban

document

management

testing

application

continuous

prototyping

requirements

gathering

interactive

charts

diagrams

statistics

d3

quality

assurance

opera

semat

project

visualisering

karta

världskarta

kartvisualisering

datacenter

webb

kanban

dokumenthantering

testning

webbapplikation

kontinuerlig

prototypning

kravinsamling

interaktiv

grafer

diagram

statistik

d3

kvalitetssäkring

opera

semat

projekt

Workshop webbapplikation : Utveckling av Webbtjänst för pluggstugan vid KTH ICT / Workshop Web Application : Development of Web Application for "pluggstuga" at KTH ICT

Firouzi, Abdul Rahman

January 2014

Kungliga Tekniska Högskolan har för en tid sedan anordnat så kallade ”workshops” för att hjälpa studenter med sina studier. Dessa workshops ger studenterna tillfälle att få hjälp av assistenter. Syftet med detta projekt är därför att göra administrationen för workshopstillfällena så effektiv och smidig som möjligt.För att uppnå detta syfte har en webbapplikation konstruerats i utvecklingsmiljön Netbeans och är baserad på en treskiktsarkitektur. Detta har genomförts med hjälp av utvecklingsmetoden Scrum och programmeringsspråket Java. Stor vikt har lagts på att skapa en modulär applikation med fokus på hållbar utveckling.Resultatet har blivit en webbapplikation som kan nås via mobila enheter, surfplattor och stationära enheter. Den har prestandatestats och är därmed redo för att testas för en utvärdering av dess effektivitet och inverkan på workshopverksamheten. / The Royal Institute of Technology has recently arranged so-called "workshops" to help students with their studies. These workshops give students the opportunity to receive help from assistants. The purpose of this project is to make the administration of the workshop sessions as efficient and seamless as possible.To achieve this purpose, a web application has been designed in Netbeans the development environment and is based on three-layer architecture. This has been implemented using the Scrum development methodology and the Java programming language. Great emphasis was placed on creating a modular application with focus on sustainable development.The result is a web application that can be accessed via mobile devices, tablets, and stationary units. Its performance has been tested and the web application is thus ready to be tested in order to evaluate its effectiveness and impact on the workshop activities.

web application

java EE

SQL

CSS

Bootstrap

Netbeans

DHTMLX-JavaPlanner

Object-Oriented programming

MySQL database

security

Java Server Faces

Java Server Pages

three-layer architecture

webbapplikation

java EE

SQL

CSS

Bootstrap

Netbeans

DHTMLX-JavaPlanner

Objektorienterat programmering

MySQL databas

säkerhet

Java Server Faces

Java Server Pages

Treskikts-arkitektur

Computer and Information Sciences

Data- och informationsvetenskap

Usability guided development of a participant database system / Användbarhetsledd utveckling av ett deltagardatabassystem

Falk, Joakim

January 2018

This project consisted of the development of a web based participant database system to replace a spreadsheet based one for the project “Vi Ses! Språkvänner i Linköping” and the evaluation of it. The design and implementation was done iteratively using a collection of usability guidelines as well as the results of a set of user tests. User tests were also used for the evaluation of the web database system. The task during the user tests was participant matching and the main measurement taken was task completion time. The project resulted in a web database system that could fully replace the spreadsheet database system. The evaluation tests showed that this system was both faster to match participants in as well as less error prone. / Detta projekt bestod av utvecklingen och evalueringen av ett webbaserat databassystem för deltagare. Den skulle ersätta ett existerande Excel-baserat databassystem för projektet “Vi Ses! Språkvänner i Linköping”. Designen och implementationen gjordes iterativt med hjälp av användbarhetsriktlinjer och resultat från användartester. Användartester användes även för evalueringen av webbdatabassystemet. Uppgiften i användartesterna var deltagarmatchning och det huvudsakliga mätvärdet var hur lång tid uppgiften tog. Projektet resulterade i ett webbaserat databassystem som helt kunde ersätta det Excel-baserade systemet. Evalueringstesterna visade att systemet var både snabbare och mindre felbenäget att matcha deltagare i.

Usability

Database

Database system

Development

User test

Web application

Web development

Usability guidelines

Human-Computer Interaction

HCI

Graphical User Interface

GUI

User Friendly Interface

User-Centered System Design

UCSD

Användbarhet

Databas

Databassystem

Utveckling

Användartest

Webbapplikation

Webbutveckling

Användbarhetsriktlinjer

Människa-Datorinteraktion

MDI

Grafiskt Användargränssnitt

Användarvänligt Gränssnitt

Användarcentrerad Systemdesign

ACSD

Computer Sciences

Datavetenskap (datalogi)

Human Computer Interaction

Software Engineering

Programvaruteknik

Information Systems

En studie av hur en webbapplikation för annonsering av konsultuppdrag till studenter kan implementeras för att uppfattas som användbar / A study of how a web application for advertising consulting jobs to students can be implemented to be perceived as useful

Åström, Adam, Öberg, Albin, Elkjaer, Alice, Olsson, Fredrik, Bengtsson Malmborg, Hannes, Jacobson, Madeleine, Schwartz-Blicke, Oscar, Storsved, Viktor

January 2021

Studentkonsultprojekt gör det möjligt för studenter att applicera sin kunskap i näringslivet samtidigt som det blir mindre kostsamt för företagen att anlita konsulter. Då jobbsökande via internet blir allt vanligare finns det ett behov av en webbapplikation för konsultuppdrag som kopplar samman studenter och företag. En av de viktigaste aspekterna för att skapa en konkurrenskraftig webbapplikation är användbarheten. Således är intentionen med denna studie att undersöka Hur kan en webbapplikation för konsultuppdrag mellan företag och studenter implementeras för att uppfattas som användbar av studenter? För att besvara frågeställningen har en webbapplikation för förmedling av konsulttjänster mellan företag och studenter utvecklats. Webbapplikationen baseras på en teoretisk grund där olika dimensioner av begreppet användbarhet analyserats. De dimensioner som lyfts är effektivitet, ändamålsenlighet och tillfredsställelse. I tillägg till detta har vikten av att specificera användare och de estetiska aspekternas påverkan på användbarhet behandlats. För att utvärdera om webbapplikationen upplevs som användbar testas den på tre testgrupper i tre olika skeden för att undersöka deras upplevelse av webbapplikationen. Testerna utgår från metoden thinking aloud tillsammans med enkäterna System Usability Scale (SUS) och Visual Aesthetics of Websites Inventory Short (VisAWI-S). SUS- och VisAWI-S-enkäterna gav indikationer på en starkt användbar applikation genom hela utvecklingsprocessen. Detta utifrån implementation av en design som främst utgick från principerna enkelhet och färgrikedom samt fokusområdena Synlighet av systemstatus, Igenkänning istället för återkallande, Flexibilitet och effektiv användning och Estetisk och minimalistisk design. Genom att analysera resultaten från thinking aloud-testerna kunde en tydlig minskning av negativa kommentarer identifieras mellan användartest 1-3. Utifrån dessa testresultat, dras slutsatserna att genom återkoppling relaterad till utförda aktioner, implementation av markörer och färgval med hänsyn till kontraster kan en webbapplikation för konsultjobb implementeras för att uppfattas som användbar av studenter. / Studentconsulting makes it possible for students to use their knowledge in business cases. In addition to this it also reduces the cost for enterprises when hiring consultants. As job hunting via the internet becomes more common there is a need for a web application that connects company projects with students who are interested in consulting. One of the most prominent aspects for a web application to be competitive is usability. The intention with this study is to examine How can a webapplication for consulting jobs between enterprises and students be implemented to be perceived as useful by students? To answer this question a web application for intermediation of consulting jobs between enterprises and students has been developed. The web application is developed on a theoretical basis where the different dimensions of the term usability has been analysed. These dimensions are efficiency, effectiveness and satisfaction. In addition to this the importance of specifying users and the aesthetic aspects effects on usability has been discussed. To evaluate if the web aplication is perceived as useful it is tested on three groups of people on three different occasions to examine their perception of the web application. The tests are based on the thinking aloud method together with the questionnaires System Usability Scale (SUS) and Visual Aesthetics of Websites Inventory Short (VisAWI-S). The SUS and VisAWI-S questionnaires indicated that the web application had a high level of usability throughout the development process. This was achieved through implementing a design based on simplicity and colorfulness as well as the principles Visibility of system status, Recognition rather than recall, Flexibility and efficiency of use and Aesthetic and minimalist design. By analysing the results from the thinking aloud tests a reduction in negative comments between test 1 and 3 could be identified. From the test results, the conclusion is that through responses related to completed actions, implementation of markers, and contrasting colors a web application for consulting jobs between enterprises and students can be implemented to be perceived as useful by students.

Usability

Design

Single page application

Web design

Visual design

Web application

Web development

HTML

CSS

JavaScript

Python

AJAX

FLASK

Templates

JWT

Job search

Job

Work

efficiency

navigation

satisfaction

expediency

TDDD83

Användbarhet

Användbar

Design

Webbutveckling

HTML

CSS

JavaScript

Python

AJAX

FLASK

Templates

JWT

Jobbsökningssida

Jobbsökning

Jobb

Arbete

Plattform

Webbapplikation

Effektivitet

Effektivt

Navigerbarhet

Ändamålsenlighet

Tillfredsställelse

TDDD83

Computer Engineering

Datorteknik

Human Computer Interaction

Computer Sciences

Datavetenskap (datalogi)

Interaction Technologies

Interaktionsteknik