WEKO3
アイテム
データベース向けアクセス制御の機能強化によるSQLインジェクション対策
https://ipsj.ixsq.nii.ac.jp/records/16602
https://ipsj.ixsq.nii.ac.jp/records/166022b08098c-1b7c-4ac8-a991-ab25281190ae
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-TPRO4614010.pdf (32.7 kB)
|
Copyright (c) 2005 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Trans(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2005-10-15 | |||||||
| タイトル | ||||||||
| タイトル | データベース向けアクセス制御の機能強化によるSQLインジェクション対策 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Enhancement of the Access Control for Database against SQL Injections | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 発表概要 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 中央大学理工学部情報工学科 | ||||||||
| 著者所属 | ||||||||
| 中央大学研究開発機構 | ||||||||
| 著者所属 | ||||||||
| 中央大学理工学部情報工学科 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and System Engineering Faculty of Science and Engineering Chuo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Research and Development Initiative Chuo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and System Engineering Faculty of Science and Engineering Chuo University | ||||||||
| 著者名 |
後藤, 久美子
× 後藤, 久美子
|
|||||||
| 著者名(英) |
Kumiko, Goto
× Kumiko, Goto
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 電子商取引サイトなど,データベースと連携したWeb アプリケーションを狙う攻撃手段にSQLインジェクションがある.SQL インジェクションでは,Web アプリケーションに悪意のある入力を与えることで,データベースに対して不正な問合わせを実行させる.データベースが提供する既存のアクセス制御機能は,SQL インジェクションに対する防御手段として,必ずしも有効でない.なぜなら,既存のアクセス制御がユーザによる想定外のデータの参照や破壊を防ぐものであるのに対し,SQL インジェクションの結果として生じる不正な問合わせでは,必ずしも想定外のデータを参照しないからである.そこで,本発表では,SQL インジェクション対策を目的として,データベースのアクセス制御機能を強化することを提案する.具体的には,データベース上に,個々のユーザに対して発行を許可する問合わせ文のフォーマットを準備し,フォーマットに合致する問合わせに限り実行を許可する.発表ではSPECjAppServer2002 による性能評価の結果も示す. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | SQL injection is a mean to attack web applications that execute queries to the database. The attack is issued as follows: A cracker gives malicious input to the web application, and the web application use the input to generates an invalid query statement and execute it. Then, the database may return unexpected result that makes web application do errorneous action. Access control features of the databases so far may not be good protection against SQL injections: The access control prevents users from reference of unexpected data, but the invalid query statement used in SQL injection may not refer such data. This presentation shows an enhancement on the access control against SQL injection. Our access control puts a table in the database and store formats of SQL statements that clients can execute, and when a client executes a query, it is matched against the formats to check if its execution is allowed. The presentation shows results of SPECjAppServer2002. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11464814 | |||||||
| 書誌情報 |
情報処理学会論文誌プログラミング(PRO) 巻 46, 号 SIG14(PRO27), p. 69-69, 発行日 2005-10-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7802 | |||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
