Item type |
Symposium(1) |
公開日 |
2021-10-19 |
タイトル |
|
|
タイトル |
強化学習を用いた自律的な反射型クロスサイトスクリプティング検査手法の提案 |
タイトル |
|
|
言語 |
en |
|
タイトル |
Toward Improving Testing Cost of Reflected Cross-Site Scripting Using Reinforcement Learning |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
強化学習,セキュリティ,クロスサイトスクリプティング,自律的,攻撃 |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
著者所属 |
|
|
|
KDDI総合研究所 |
著者所属 |
|
|
|
KDDI総合研究所 |
著者所属 |
|
|
|
KDDI総合研究所 |
著者所属(英) |
|
|
|
en |
|
|
KDDI Research, Inc. |
著者所属(英) |
|
|
|
en |
|
|
KDDI Research, Inc. |
著者所属(英) |
|
|
|
en |
|
|
KDDI Research, Inc. |
著者名 |
長谷川, 健人
披田野, 清良
福島, 和英
|
著者名(英) |
Kento, Hasegawa
Seira, Hidano
Kazuhide, Fukushima
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,サイバー空間の脅威は多様化,複雑化している.ネットワークに接続された多くの機器が備える Web インターフェースには,代表的な脆弱性の例として反射型クロスサイトスクリプティング(XSS)がある.既存の XSS 検査ツールでは既知の攻撃パターンをもとに総当たり的あるいはヒューリスティックな方法で試行的に検査しており,Web ページへの問い合わせ回数が膨大となることから,検査時間の増加や Web サーバの負荷増大が課題となる.そこで本稿では,強化学習を用いた自律的な反射型 XSS 脆弱性の検査手法を提案する.提案手法では,予め与えた反射型 XSS 攻撃に使われる既知の文字列の断片の置換操作と,構文解析による状態観測を通じて,従来手法で必要だった人間の介在なしに自律的に検査文字列を構成する方法を強化学習で学習する.その結果,強化学習による最適な方策の獲得から,検査時に Web サイトへの問い合わせ回数を大幅に減らすことが可能となる.評価実験を通じ,既存ツールとの比較において,提案手法は最も少ない問い合わせ回数で脆弱性を発見できることを示す. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Reflected cross-site scripting (XSS) is a typical vulnerability in a web interface. Existing XSS testing tools use brute force or heuristic methods based on known attack patterns, which increases the testing time and the load on the web server due to a large number of requests. In this paper, we propose a method of autonomous audit testing for reflected XSS vulnerability using reinforcement learning. In the proposed method, we use reinforcement learning to learn how to autonomously construct attack strings of reflected XSS through recombination of known attack string fragments and state observation of parsed web pages. As a result, the proposed method significantly reduces the number of requests to the website during the testing process by acquiring the optimal policy through reinforcement learning. The experimental results demonstrate that the proposed method can find XSS vulnerabilities with the least number of requests compared to the existing tools. |
書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 713-720,
発行日 2021-10-19
|
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |