WEKO3
アイテム
ユーザ入力の構文木解析によるSQLインジェクション攻撃防御法
https://ipsj.ixsq.nii.ac.jp/records/16545
https://ipsj.ixsq.nii.ac.jp/records/1654527dbc7de-725d-44f9-92eb-38c8bdbaae0a
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-TPRO4716014.pdf (31.7 kB)
|
Copyright (c) 2006 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Trans(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2006-10-15 | |||||||
| タイトル | ||||||||
| タイトル | ユーザ入力の構文木解析によるSQLインジェクション攻撃防御法 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Protection against SQL Injection Attacks Using Syntax Tree Analysis of User's Input | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 発表概要 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 電気通信大学大学院情報工学専攻 | ||||||||
| 著者所属 | ||||||||
| 電気通信大学情報工学科 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Computer Science, Graduate School of Electro-Communications, The University of Electro-Communications | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Computer Science, The University of Electro-Communications | ||||||||
| 著者名 |
金子, 佳樹
岩崎, 英哉
× 金子, 佳樹 岩崎, 英哉
|
|||||||
| 著者名(英) |
Yoshiki, Kaneko
Hideya, Iwasaki
× Yoshiki, Kaneko Hideya, Iwasaki
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,データベースを用いたWebアプリケーションの増加とともに,Webアプリケーションを対象とした攻撃手法も増えている.ユーザ入力にSQLコマンドを埋め込んで,本来意図していないSQL文で問合せを行わせることにより,データベースを不正に操作するSQLインジェクションもその1つである.本研究では,期待されるユーザ入力は,SQL文法の非終端記号となっているという点に着目し,ユーザ入力をその非終端記号として構文解析し,解析に成功した入力に対してのみ,実際のデータベース操作を許すことにより,SQLインジェクション攻撃を防御する方法を提案する.さらに,本提案機構を,WebクライアントとWebアプリケーションを運用するWebサーバの間に設置して実装し,その有効性を確認した. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Recently, as web applications with databases increases, attacks on these web applications are increasing. SQL injection is one of such attacks, which illegally accesses databases by giving fragments of SQL commands within the user’s input and making the web application issue unexpected queries to the database. Based on the fact that an expected input corresponds to a nonterminal symbol of SQL grammar, we propose a new protection method against SQL injection which parses user's input as the nonterminal symbol and rejects such input that cannot be parsed. Experimental results demonstrates that our prototype works well in protecting well-known SQL injection attacks. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11464814 | |||||||
| 書誌情報 |
情報処理学会論文誌プログラミング(PRO) 巻 47, 号 SIG16(PRO31), p. 93-93, 発行日 2006-10-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7802 | |||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
