2024-03-29T05:13:10Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:001863592023-04-27T10:00:04Z01164:03925:09381:09428
Webアプリケーションの権限管理の不備を診断する手法の提案Proposal of testing method to insufficient authority management of Web applicationjpnhttp://id.nii.ac.jp/1001/00186271/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=186359&item_no=1&attribute_id=1&file_no=1Copyright (c) 2018 by the Information Processing Society of Japan三菱電機株式会社情報技術総合研究所三菱電機株式会社情報技術総合研究所反町, 孝平河内, 清人インターネットに公開されている Web アプリケーションで利用する情報資産は,悪意のある攻撃者による攻撃から保護されなければならない.その中でも,権限によって利用できる機能が異なる Web アプリケーションは,権限管理が適切に行われていない場合,権限を越えた操作によって,システムや企業に損害を与える可能性がある.そのため,このような Web アプリケーションでは,権限によって適切に機能が制限されているかを,セキュリティ診断で確認する必要がある.しかし,一般的なセキュリティ診断ツールでは,ページのリンクを遷移して診断を行うため,管理者専用ページなどの一般権限から遷移できないページに対して操作が可能かを診断できない.一方,手動の診断では,事前に権限毎に遷移情報を取得して,その情報の違いから,どの部分を変更してテストを実施すべきかを解析する専門性が必要であり,また,手動による確認のため,コストが掛かるという問題がある.本稿では,その解決策として,ツールで遷移できないページを自動で検出し,手動でリクエストを解析する必要のなく,人的コストの削減した診断を実現する方法を提案する.Information assets used in web applications published on the Internet must be protected against attacks by malicious attackers. Among them, Web applications with different functions that can be used depending on authority may cause damage to systems and businesses by operations beyond authority, if authority management is not performed properly. Therefore, in such a Web application, it is necessary to confirm by security diagnosis whether the function is appropriately restricted by the authority. However, with a general security diagnostic tool, diagnosis is made by transitioning the page link, so it is not possible to diagnose whether operations can be performed on pages that cannot be transitioned from general authorities such as administrator exclusive pages. On the other hand, in the manual diagnosis, it is necessary to acquire the transition information for each authority in advance and expertise to analyze which part should be changed and the test should be carried out based on the difference in the information, There is a problem that cost is required for confirmation. In this paper, as a solution to that, we propose a method to automatically detect pages that cannot be transitioned with tools and realize diagnosis with reduced human cost without having to analyze requests manually.AA11235941研究報告コンピュータセキュリティ(CSEC)2018-CSEC-8020152018-02-262188-86552018-02-26