| Item type |
Symposium(1) |
| 公開日 |
2018-11-29 |
| タイトル |
|
|
タイトル |
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Automatic Whitelist Generation for SQL Queries Using Web Application Tests |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
セキュリティ検知・分析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所 |
| 著者所属 |
|
|
|
ココン株式会社/株式会社レピダム |
| 著者所属 |
|
|
|
ココン株式会社/株式会社レピダム |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所/力武健次技術士事務所 |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所/さくらインターネット株式会社 |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Cocon, Inc. / Lepidum Co. Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Cocon, Inc. / Lepidum Co. Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. / Kenji Rikitake Professional |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. / SAKURA Internet, Inc. |
| 著者名 |
野村, 孔命
阿部, 博
菅野, 哲
力武, 健次
松本, 亮介
|
| 著者名(英) |
Komei, Nomura
Hiroshi, Abe
Satoru, Kanno
Kenji, Rikitake
Ryosuke, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Web アプリケーションの脆弱性を利用してデータベースから機密情報を窃取する攻撃が問題になっている.対策として,クエリのホワイトリストによる検知があるが,大規模なアプリケーションにおいてはクエリパターンが膨大であり,開発者によるリストの手動作成が困難なため,リストの自動作成手法が利用される.しかし,従来のホワイトリスト自動作成手法には,ユーザが Web サービスを利用することによって,発行されるクエリを収集するのに時間がかかり検知の即時性が低い課題や,アプリケーション毎に異なる実装を必要とし汎用性が低い課題がある.本稿では,アプリケーションの動作テスト実行時の発行クエリからホワイトリストを作成する手法を提案する.提案手法はテスト時の発行クエリを使いアプリケーションの実装に依存せず作成できるため,検知の即時性や汎用性は向上する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Stealing confidential information of the database has became a serious vulnerability issue of Web applications. Defining the whitelist of SQL queries issued by the Web application is a countermeasure to detect the attack. For large-scale Web applications, automated generation of the whitelist is conducted since manually defining a large number of the query patterns is impractical for the developers. Conventional methods for the automated generation are unable to detect the attacks immediately due to the long requiring time of collecting legitmate queries and require the application-specific implementations which reduce the versatility of the methods. In this paper, we propose a method to automatically generate a whitelist using issued queries during Web application tests. Our proposed method uses the generated queries during the application tests and does not depend on the specific application, which results in improved timeliness against the attacks and versatility for the multiple applications. |
| 書誌情報 |
インターネットと運用技術シンポジウム論文集
巻 2018,
p. 106-113,
発行日 2018-11-29
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOTS2018022.pdf (1.7 MB)
