| Item type |
SIG Technical Reports(1) |
| 公開日 |
2019-06-07 |
| タイトル |
|
|
タイトル |
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Automatic Whitelist Generation for SQL Queries Using Web Application Tests |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
フレッシュマン・セッション |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所 |
| 著者所属 |
|
|
|
GMOペパボ株式会社ペパボ研究所/力武健次技術士事務所 |
| 著者所属 |
|
|
|
さくらインターネット株式会社さくらインターネット研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Pepabo R&D Institute, GMO Pepabo, Inc. / Kenji Rikitake Professional Engineer's Office |
| 著者所属(英) |
|
|
|
en |
|
|
SAKURA Research Center, SAKURA Internet Inc. |
| 著者名 |
野村, 孔命
力武, 健次
松本, 亮介
|
| 著者名(英) |
Komei, Nomura
Kenji, Rikitake
Ryosuke, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Web アプリケーションの脆弱性を利用してデータベースから機密情報を窃取する攻撃が問題になっている.対策として,アプリケーションが発行するクエリを正常なクエリとしてホワイトリストに定義し,リストにないクエリを検知する方法がある.従来のホワイトリスト自動作成手法では,Web サービスのユーザがサービスを利用する過程で発行されるクエリからリストを自動で作成するため,クエリを収集している間は検知が行えない.また,複数の実装の異なるアプリケーションを運用しており,これらに従来手法を適用する場合,それぞれに対して手法の実装が必要となり実装の工数が多い.これらの課題を解決するためには,アプリケーションが稼動する前の段階でアプリケーションの実装に依存せず,ホワイトリストを作成する必要がある.そこで,本稿では,アプリケーション稼動前の動作テスト実行時に発行されるクエリからホワイトリストを作成する手法を提案する.提案手法の評価のため,SQL インジェクションの脆弱性のあるアプリケーションに提案手法を適用し,SQL インジェクション攻撃を検知できることを確認した.しかし,提案手法はテスト時に発行されたクエリを利用するため,正常なクエリを異常とみなす,もしくは異常なクエリを正常とみなす誤検知が発生することが懸念される.この誤検知への対策を検討するために,実環境のアプリケーションに提案手法を適用し,誤検知されたクエリの発行元となったアプリケーションの処理を特定することで,誤検知の原因を調査し考察する. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2019-IOT-46,
号 8,
p. 1-8,
発行日 2019-06-07
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT19046008.pdf (1.2 MB)
