ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2024

実世界の文字列操作を正確に捉えた DOM-based XSSの検知技術の実現に向けて

https://ipsj.ixsq.nii.ac.jp/records/240762
https://ipsj.ixsq.nii.ac.jp/records/240762
15a98c28-0cd7-4b41-b64c-e8ee0100c2f2
名前 / ファイル ライセンス アクション
IPSJ-CSS2024016.pdf IPSJ-CSS2024016.pdf (382.3 kB)
 2026年10月15日からダウンロード可能です。
Copyright (c) 2024 by the Information Processing Society of Japan
非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0
Item type Symposium(1)
公開日 2024-10-15
タイトル
言語 ja
タイトル 実世界の文字列操作を正確に捉えた DOM-based XSSの検知技術の実現に向けて
タイトル
言語 en
タイトル Towards More Accurate DOM-based XSS Detections for Real-World String Manipulations
言語
言語 jpn
キーワード
主題Scheme Other
主題 DOM-based XSS,脆弱性検知,文字列制約解消
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
NTT 社会情報研究所
著者所属
NTTソフトウェアイノベーションセンタ
著者所属
NTT社会情報研究所
著者所属(英)
en
NTT Social Informatics Laboratories
著者所属(英)
en
NTT Software Innovation Center
著者所属(英)
en
NTT Social Informatics Laboratories
著者名 千田, 忠賢

× 千田, 忠賢

千田, 忠賢
Search repository
山口, 大輔

× 山口, 大輔

山口, 大輔
Search repository
上川, 先之

× 上川, 先之

上川, 先之
Search repository
著者名(英) Nariyoshi, Chida

× Nariyoshi, Chida

en Nariyoshi, Chida
Search repository
Daisuke, Yamaguchi

× Daisuke, Yamaguchi

en Daisuke, Yamaguchi
Search repository
Hiroyuki, Uekawa

× Hiroyuki, Uekawa

en Hiroyuki, Uekawa
Search repository
論文抄録
内容記述タイプ Other
内容記述 DOM (Document Object Model)-based Cross-Site Scripting (XSS) とはWebページ内で利用されている JavaScript 等の動作を悪用し,悪意のある第三者が用意したスクリプトを閲覧したユーザに実行させることを可能とする脆弱性である.JavaScript の広い普及に伴い DOM-based XSS の件数も増加の一途を辿っており,現代社会において重大な脅威の1つとなっている.Webアプリケーションにおける DOM-based XSS 脆弱性の有無を検査するには外部入力がブラウザに反映されるまでに適用された文字列操作を正確に捉えることが重要となる.しかし,既存技術は以下の2つの点において実世界で利用されている文字列操作を正確に捉えることができていない.(1) 正規表現マッチングにおける優先度を考慮できていない.(2) 正規表現による置換で置換後文字列に参照を含むものを扱えない.本論文ではこれらの点を正確に捉えた DOM-based XSS の検知手法を提案する.提案手法ではこれらの点をサポートした文字列制約解消ソルバーである OSTRICH が扱える形で文字列操作を表現することでそれらを正確に捉えることを可能とする.提案手法を実装し,実世界のデータを用いて性能評価を行ったためその結果を報告する.
論文抄録(英)
内容記述タイプ Other
内容記述 DOM (Document Object Model)-based Cross-Site Scripting (XSS) is a vulnerability that allows attackers to execute malicious scripts by exploiting the behavior of JavaScript on a web page. Due to the widespread use of JavaScript, DOM-based XSS is a significant threat to our society. To overcome this situation, there are works for detecting DOM-based XSS. These works focus on string manipulations applied to the user's inputs. Therefore, the accuracy of the detection methods depends on how they capture the string manipulations applied to the user-provided inputs accurately. However, these methods have the following two problems. (1) They do not consider the priorities of regular expression (regex) matching. (2) They do not support the use of references in replacements of {\sf replace} functions. This paper introduces a method to detect DOM-based XSS that overcomes the above problems. Our method uses the OSTRICH solver that supports the priorities of regex matching and the use of references in replacements to handle the above problems. We implemented our method and evaluated it on real-world benchmarks collected from known Common Vulnerabilities and Exposures (CVE).
書誌情報 コンピュータセキュリティシンポジウム2024論文集

p. 114-121, 発行日 2024-10-15
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 07:52:19.229153
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3