@techreport{oai:ipsj.ixsq.nii.ac.jp:00201576,
 author = {向佐, 裕貴 and 中村, 章人 and Yuki, Mukasa and Akihito, Nakamura},
 issue = {5},
 month = {Dec},
 note = {Web サイトの構築・管理にコンテンツ管理システム（CMS）が広く利用されている．CMS は HTML や JavaScript などの専門知識がなくても高品質な Web ページを作成でき，管理機能によりサイトの運用を容易にする．CMS は多種多様なものがあるが，WordPress は世界の Web サイトで約 3 割のシェアを持つ．本論文では，Web サイトの基盤システムとして広く用いられる WordPress のセキュリティ対策方法について述べる．情報漏えいや Web ページの改ざん，認証回避などの深刻な損害をもたらす SQL インジェクション（SQLI）攻撃に着目し，その解決策を示す．提案手法は，WordPress の実装言語である PHP の言語処理系を拡張することにより，アプリケーションコードに SQLI 脆弱性があったとしても，危険な SQL 文を無害化してデータベースアクセスを安全に実行する．また，WordPress に限らず，あらゆる PHP のアプリケーションコードにおける SQLI 脆弱性の防御策としても利用できる．, Content Management System (CMS) is widely used for construction and management of Web sites. CMS helps both well-experienced and less-experienced persons to create high quality Web pages and manage sites. Among the many different kinds of CMSs, WordPress is used by 35% of all the Web sites. In this paper, we discuss how to defend WordPress against SQL injection (SQLI) attacks in a fundamental way. SQLI vulnerabilities can typically lead to confidentiality and integrity failures: exposure, defacement, or destruction of information. In addition, user authentication and/or authorization could be ruined. The proposed defense method extends PHP runtime system to detoxify dangerous SQL statements even if the application code is vulnerable to SQLI. Our method eliminates the problems of programmer involvement, false negatives or positives, and additional infrastructures, while it is defensible against the most types of SQLI attacks. The method can be also applied to other PHP-based systems.},
 title = {WordPressにおけるプラグイン透過なSQLインジェクション防御策の提案},
 year = {2019}
}