• 検索結果がありません。

静的解析を用いたWebアプリケーションの脆弱性検出の一手法

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "静的解析を用いたWebアプリケーションの脆弱性検出の一手法"

Copied!
1
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 1 ページ )

全文

(1)Vol. 48. No. SIG 4(PRO 32). 情報処理学会論文誌:プログラミング. Mar. 2007. 発表概要. 静的解析を用いた Web アプリケーションの脆弱性検出の一手法 西. 田. 誠. 幸†. 近年,SQL インジェクションやクロスサイトスクリプティングなどの脆弱性を突いた Web アプリ ケーションへの不正アクセスが問題となっている.これらの脆弱性は,Web アプリケーションを構成 するプログラムが,ユーザ入力文字列に対するエスケープ処理を怠って HTML 文書や SQL 文の一 部として出力することによって起こる.本発表では Web アプリケーションを構成する手続き型言語 のプログラムを静的に解析して,プログラム中の脆弱性の存在を検出する一手法を提案する.この手 法では,プログラムの手続きを単位として,入力文字列の伝播を表す関数を生成する.そしてプログ ラム中のすべての手続きに対して得られる入力文字列伝播関数を解決することによって脆弱性を検出 する.すなわち,入力文字列が出力文字列の一部として伝播すると判断されたとき,対象のプログラ ムに脆弱性が存在すると見なす.本手法は,プログラムの手続きを,その呼び出し元とは独立に解析 する.したがって,1 つの手続きの解析の手間は,その呼び出し回数に支配されない.また MVC フ レームワークやテンプレートなど,複数の言語を使って構成される Web アプリケーションについて, 各言語の手続きから関数を生成する処理の間の関連がたがいに疎であるため,それぞれの処理を分割 して実装することが可能である.一方,これらの各処理によって得られる関数を解決する処理は,対 象とする言語とは独立に実装可能である.. A Static Analysis for Detecting Web Application Vulnerability Seikoh Nishita† We propose a technique for detecting the vulnerability of Web applications such as SQL injection and cross-site scripting by static analysis of procedural language programs that compose the Web applications. Our technique inputs procedures of the programs as a unit, and generates some functions that represent the input character string propagation. And, it detects the vulnerability by resolving the functions obtained from all procedures in the programs. That is, our technique inform the existence of the vulnerability when the resolved functions suggests that the input character string propagates to the part of output text such as HTML documents and SQL commands. Our technique analyzes the procedures independently of the procedural calls. Therefore, the number of procedural calls is not occupied in the complexity of the analysis for the procedure. Moreover, when the Web application is composed by two or more languages by techniques such as MVC frameworks and templates, each processing of function generation for the languages can be implemented separately, because the function generation processing of each language is mutually related loosely. On the other hand, the resolver of the functions is implemented independently of the target languages.. (平成 18 年 10 月 13 日発表). † 拓殖大学工学部情報工学科 Department of Computer Science, Takushoku University. 81.

(2)

参照

今ダウンロードする ( PDF - 1 ページ - 29.66 KB )

関連したドキュメント

A Web Web 6 B

東京都は他の道府県とは値が離れているように見える。相関係数はこう

各位 2022 年 9 月 29 日 会社名ポーターズ株式会社代表者名代表取締役社 西森康二 ( コード番号 : 東証グロース市場 ) 問合せ先取締役 Corporate Group マネージャー天野竜人 (TEL ) 東京証券取引所グロース市場への上場に伴う

サーバー費用は、Amazon Web Services, Inc.が提供しているAmazon Web Servicesのサーバー利用料とな

As an application, we obtain a new proof of the Connes{ Moscovici index theorem for coverings

We show that the Chern{Connes character induces a natural transformation from the six term exact sequence in (lower) algebraic K { Theory to the periodic cyclic homology exact

TENJIN ADD Menu_web_220901

ROKU KYOTO Autumn Parfait ~ Shine muscat & Jasmine tea ~ ROKU KYOTO

web-abstracts.indb

(4) 現地参加者からの質問は、従来通り講演会場内設置のマイクを使用した音声による質問となり ます。WEB 参加者からの質問は、Zoom

情報セキュリティ早期警戒パートナーシップガイドライン2019年版

製品開発者は、 JPCERT/CC から脆弱性関連情報を受け取ったら、ソフトウエア 製品への影響を調査し、脆弱性検証を行い、その結果を

A MEASURE OF GRAPH VULNERABILITY: SCATTERING NUMBER

To measure vulnerability we have some parameters that are toughness, binding number, vertex integrity, and scattering number [5].. The problem “given a graph G , decide whether

Webセミナー参加の前に

Webカメラ とスピーカー 、若しくはイヤホン