2026-03-08T23:46:42Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00206885 2025-01-19T19:15:39Z 581:10023:10032

テストベースホワイトリストとCSPの組合せによる効果的なXSS対策の実現 Realization of Effective XSS Attack Countermeasure based on the Combination of Examination-based Whitelist and CSP 井上, 佳祐 本多, 俊貴 向山, 浩平 大木, 哲史 堀川, 博史 西垣, 正勝 Keisuke, Inoue Toshiki, Honda Kohei, Mukaiyama Tetsushi, Ohki Hiroshi, Horikawa Masakatsu, Nishigaki [特集：実社会を支える暗号・セキュリティ・プライバシ技術] クロスサイトスクリプティング，Content Security Policy，ホワイトリスト，自動生成，テストケース Software as a Service（SaaS）などのクラウドサービスの普及にともない，Webアプリケーションに対する攻撃が急増している．本論文ではクロスサイトスクリプティング（以下，XSS）に焦点を当て，その対策を検討する．現在，XSSの効果的な対策としてContent Security Policy（以下，CSP）が普及しつつある．CSPを利用して，インラインスクリプトに対してはその動作を禁止し，外部スクリプトに対してはそのコード署名を検証することで，開発者が意図したスクリプトのみを動作させることが可能となる．しかし，現在のWebサービスにおいてインラインスクリプトを利用していないWebサイトは数少ないため，CSPのみでは十分なXSS対策を実現し得ない．そこで本論文では，CSPとホワイトリストを併用することによって，効果的なXSS対策を達成する．提案方式は，外部スクリプトに対しては，CSPのコード署名によって開発者の意図したスクリプトのみの実行を許可する．提案方式は，コード署名による対策が難しく，サニタイジングの不備の影響を大きく受けるインラインスクリプトに対しては，テストベースホワイトリストを用いたXSS対策を提案する．テストベースホワイトリスト方式では，開発プロセスの最終段階で行われるソフトウェアテストを通じ，各Webアプリケーションの仕様に合致するホワイトリストが自動生成される． Owing to the widespread usage of cloud services (such as “software as a service”), attacks targeting web applications are rapidly increasing. In this study, we focus on Cross Site Scripting (XSS) attacks and consider the corresponding countermeasures. Currently, Content Security Policy (CSP) is considered as an effective countermeasure for addressing XSS attacks. CSP can prevent XSS attacks by prohibiting script action of inline scripts and verifying external scripts using their code signatures. However, a large number of websites do use inline scripting in their web services, and they are therefore not protected by solely utilizing CSP. Hence, our objective is to develop effective XSS countermeasures by combining whitelists with CSP. The proposed method employs CSP for protecting external scripts by incorporating the associated code signatures. Additionally, the proposed method incorporates whitelists as countermeasures for addressing inline scripts that are difficult to manage. Through the software testing performed during the final stage of the development process, it is possible to automatically generate a whitelist that matches the specifications of each web application. journal article 2020-09-15 application/pdf 情報処理学会論文誌 9 61 1374 1387 1882-7764 AN00116647 https://ipsj.ixsq.nii.ac.jp/record/206885/files/IPSJ-JNL6109005.pdf jpn