| Item type |
SIG Technical Reports(1) |
| 公開日 |
2018-05-10 |
| タイトル |
|
|
タイトル |
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Automatic Whitelist Generation for SQL Queries Using Web Application Test |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
情報システム運用 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所 |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所/力武健次技術士事務所 |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. / Kenji Rikitake Professional Engineer's Office |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. |
| 著者名 |
野村, 孔命
力武, 健次
松本, 亮介
|
| 著者名(英) |
Komei, Nomura
Kenji, Rikitake
Ryosuke, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
データベースの情報を利用して動作する Web アプリケーションでは,入力検証やクエリ発行処理の脆弱性により,開発者の想定していない不正クエリがデータベースに発行され機密情報を窃取される攻撃が発生する.このような攻撃に対して,Web アプリケーションがデータベースに発行するクエリのホワイトリストを作成し不正クエリの検知を行う方法がとられてきたが,Web アプリケーションの大規模化や実装言語の多様化に伴いホワイトリストの作成が難しくなっている.そのため,Web アプリケーション解析や運用時のクエリを用いた学習により生成を用いてホワイトリスト作り,検知する手法が提案されている.しかし,手法が実装言語依存の問題や Web アプリケーションの仕様変更の頻度が高いことによるホワイトリストの管理が難しい問題がある.本稿では,Web アプリケーションの動作を保証するためのテストがあり,Web アプリケーションの更新に追従してテストの更新が行われる開発プロセスが採用されていることを前提とし,テスト時に発行されるクエリからホワイトリストを自動作成する手法を提案する.Web アプリケーションの運用時には作成されたホワイトリストを用いて不正クエリを検知する.提案手法は,Web アプリケーションの複雑性や実装言語に依存せずにクエリのホワイトリストを自動作成することができ,新クエリが実装された場合もテストの更新に伴いホワイトリストが更新される.また,検知されたクエリはテストされていないクエリもしくは不正クエリであり,これらを早期に発見することで原因となる Web アプリケーションの脆弱性が長期化することを防ぐことができる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Database-driven Web applications are vulnerable to the attacks by the malicious queries which are not expected by the developers and are not correctly processed due to the incomplete input processing and the query issuing process. Defining the whitelist of the database queries issued by the Web applications has been conducted to detect the malicious queries. However, as the Web applications themselves become more complex and the implementation programming languages become more diverse, the whitelisting approach becomes more challenging to implement. In this paper, we propose a method to automatically generate a whitelist of database queries from those generated by the Web applications during the testing phase, provided that the application development process includes the operation testing. In the proposed method, the malicious queries are detected using the generated whitelist during the Web application is executed. Our method can automatically generate the whitelist of the queried regardless of the Web application complexity and independent of the implementation language and can update the whitelist as the test cases are updated when new queries are implemented. The detected queries are either untested or malicious and detecting the queries in the early stage of the attack may help an early removal of the respective Web application defects. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2018-IOT-41,
号 24,
p. 1-6,
発行日 2018-05-10
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT18041024.pdf (409.5 kB)
