| Item type |
Journal(1) |
| 公開日 |
2020-09-15 |
| タイトル |
|
|
タイトル |
テストベースホワイトリストとCSPの組合せによる効果的なXSS対策の実現 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Realization of Effective XSS Attack Countermeasure based on the Combination of Examination-based Whitelist and CSP |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:実社会を支える暗号・セキュリティ・プライバシ技術] クロスサイトスクリプティング,Content Security Policy,ホワイトリスト,自動生成,テストケース |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| ID登録 |
|
|
ID登録 |
10.20729/00206785 |
|
ID登録タイプ |
JaLC |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
三菱電機インフォメーションネットワーク株式会社 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Information Network Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者名 |
井上, 佳祐
本多, 俊貴
向山, 浩平
大木, 哲史
堀川, 博史
西垣, 正勝
|
| 著者名(英) |
Keisuke, Inoue
Toshiki, Honda
Kohei, Mukaiyama
Tetsushi, Ohki
Hiroshi, Horikawa
Masakatsu, Nishigaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Software as a Service(SaaS)などのクラウドサービスの普及にともない,Webアプリケーションに対する攻撃が急増している.本論文ではクロスサイトスクリプティング(以下,XSS)に焦点を当て,その対策を検討する.現在,XSSの効果的な対策としてContent Security Policy(以下,CSP)が普及しつつある.CSPを利用して,インラインスクリプトに対してはその動作を禁止し,外部スクリプトに対してはそのコード署名を検証することで,開発者が意図したスクリプトのみを動作させることが可能となる.しかし,現在のWebサービスにおいてインラインスクリプトを利用していないWebサイトは数少ないため,CSPのみでは十分なXSS対策を実現し得ない.そこで本論文では,CSPとホワイトリストを併用することによって,効果的なXSS対策を達成する.提案方式は,外部スクリプトに対しては,CSPのコード署名によって開発者の意図したスクリプトのみの実行を許可する.提案方式は,コード署名による対策が難しく,サニタイジングの不備の影響を大きく受けるインラインスクリプトに対しては,テストベースホワイトリストを用いたXSS対策を提案する.テストベースホワイトリスト方式では,開発プロセスの最終段階で行われるソフトウェアテストを通じ,各Webアプリケーションの仕様に合致するホワイトリストが自動生成される. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Owing to the widespread usage of cloud services (such as “software as a service”), attacks targeting web applications are rapidly increasing. In this study, we focus on Cross Site Scripting (XSS) attacks and consider the corresponding countermeasures. Currently, Content Security Policy (CSP) is considered as an effective countermeasure for addressing XSS attacks. CSP can prevent XSS attacks by prohibiting script action of inline scripts and verifying external scripts using their code signatures. However, a large number of websites do use inline scripting in their web services, and they are therefore not protected by solely utilizing CSP. Hence, our objective is to develop effective XSS countermeasures by combining whitelists with CSP. The proposed method employs CSP for protecting external scripts by incorporating the associated code signatures. Additionally, the proposed method incorporates whitelists as countermeasures for addressing inline scripts that are difficult to manage. Through the software testing performed during the final stage of the development process, it is possible to automatically generate a whitelist that matches the specifications of each web application. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 61,
号 9,
p. 1374-1387,
発行日 2020-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL6109005.pdf (2.3 MB)
