WEKO3
アイテム
効果的な攻撃テストによるWebアプリケーションの脆弱性検出手法
https://ipsj.ixsq.nii.ac.jp/records/62051
https://ipsj.ixsq.nii.ac.jp/records/6205146738154-9822-4201-a0d3-6f772386f6cd
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-ARC09183011.pdf (429.2 kB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-04-15 | |||||||
| タイトル | ||||||||
| タイトル | 効果的な攻撃テストによるWebアプリケーションの脆弱性検出手法 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | An Effective Audit Testing for Detecting Vulnerabilities in Web Applications | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 攻撃解析 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 慶應大学 | ||||||||
| 著者所属 | ||||||||
| 慶應大学/科学技術振興機構CREST | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Keio University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Keio University / CREST, Japan Science and Technology Agency | ||||||||
| 著者名 |
小菅, 祐史
× 小菅, 祐史
|
|||||||
| 著者名(英) |
Yuji, Kosuga
× Yuji, Kosuga
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Webアプリケーションの脆弱性の多くは設計時や開発時に排除することができる.しかしそれらは開発者によって手作業で行われるため,間違いや見落としが発生しやすい.また,既存の脆弱性検出ツールは,実行時間が長い上,誤検知を多く発生してしまう.本論文では,Webアプリケーションのセキュリティに関する検証をより正確かつ効率的に行うことができるフレームワークAmberateを提案する.AmberateはそれぞれのWebアプリケーションに適した攻撃を動的に自動生成し,攻撃テストを実行する.そして攻撃後の反応を自動検証することで,脆弱性や設定ミスなどを自動検出する.Amberateに組み込み可能なSQLインジェクション攻撃,クロスサイト・スクリプティング,JavaScript Hijackingに対する脆弱性を検出するプラグインの開発を行い,評価実験で各プラグインの脆弱性検出手法の有効性を示した. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Most of security-related configurations and source-code instructions for Web applications are done by developers' hands, which can be tedious and errorprone. Existing vulnerability scanners are helpful to validate the correctness of their security, but they may take a long time to perform a penetration test, and even worse, generate a lot of false positives/negatives. Amberate is designed to automatically verify the security of Web applications, more readily and accurately. It can automatically generate attacks suited for eachWeb application, and verify the security by analyzing its reaction after sending them. In evaluation experiment to discover vulnerabilities against SQL Injection, Cross-Site Scripting, and JavaScript Hijacking, we found our solution was efficient in comparison with popular web application scanners. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN10096105 | |||||||
| 書誌情報 |
研究報告計算機アーキテクチャ(ARC) 巻 2009-ARC-183, 号 11, p. 1-8, 発行日 2009-04-15 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
