| Item type |
SIG Technical Reports(1) |
| 公開日 |
2019-11-26 |
| タイトル |
|
|
タイトル |
既存のWebアプリケーションへの適用性を考慮したプリミティブなTrusted TypesによるClient-Side XSS防御手法の提案 |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学先端科学技術研究科 |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属 |
|
|
|
奈良先端科学技術大学院大学総合情報基盤センター |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Science and Technology, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Information Initiative Center, Nara Institute of Science and Technology |
| 著者名 |
山崎, 勇二
垣内, 正年
新井, イスマイル
藤川, 和利
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
現在,Web はインターネットの中でも最も重要なプラットフォームの一つとなっている.その一方で攻撃者が脆弱な Web アプリケーションに悪意のあるスクリプトを挿入し実行させるクロスサイトスクリプティング (XSS) の脆弱性が問題となっており,近年ではクライアント側の機能増加に伴い,XSS の一種である Client-Side XSS が問題となっている.この問題に対処するために,テイントトラッキングによる検知 ・防御策が提案されているが,パフォーマンスに影響が発生し,実用的なものが無いのが現状である.本研究では,パフォーマンスと既存の Web アプリケーションへの影響を小さくした Client-Side XSS の防御を目的とする.具体的には,安全な文字列であるかを型で検証する Trusted Types を,プリミティブな型として定義することによる防御手法を提案する.Trusted Types を用いることにより,JavaScript を生成する実行シンクは開発者が安全な文字列であると明示した文字列のみを許可するため,Client-Side XSS の脆弱性を塞ぐことが可能となり,加えて防御に必要な処理は文字列の型を検証するのみとなるため,パフォーマンスへの影響を軽減しながら防御が可能となる.この Trusted Types をプリミティブな型として定義し,JavaScript ソースの構文解析の段階で割り当てることで,既存の Web アプリケーションに変更を加えず Trusted Types を適用させる. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2019-CSEC-87,
号 5,
p. 1-6,
発行日 2019-11-26
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC19087005.pdf (376.3 kB)
