リクエストとそのレスポンスを考慮したWebAPI脆弱性診断手法

田谷, 透; 花田, 真樹; 村上, 洋一; 早稲田, 篤志; 石田, 裕貴; 三村, 隆夫; 布広, 永示; Toru, Taya; Masaki, Hanada; Yoichi, Murakami; Atsushi, Waseda; Yuki, Ishida; Takao, Mimura; Eiji, Nunohiro

WEKO3

lat lon distance

[[sub_check.contents]]

[[sub_radio.contents]]

Field does not validate

[[sub_attr.contents]]　

インデックスツリー

アイテム

リクエストとそのレスポンスを考慮したWebAPI脆弱性診断手法

https://ipsj.ixsq.nii.ac.jp/records/214545

名前 / ファイル	ライセンス	アクション
IPSJCSS2021145.pdf (4.6 MB)	Copyright (c) 2021 by the Information Processing Society of Japan
オープンアクセス

Item type

Symposium(1)

公開日

2021-10-19

タイトル

リクエストとそのレスポンスを考慮したWebAPI脆弱性診断手法

タイトル

言語

タイトル

A Method for WebAPI Vulnerability Assessment Considering Requests and Responses

言語

jpn

キーワード

主題Scheme

Other

主題

WebAPI，脆弱性診断

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_5794

資源タイプ

conference paper

著者所属

東京情報大学大学院総合情報学研究科

著者所属

東京情報大学総合情報学部

著者所属

東京情報大学総合情報学部

著者所属

東京情報大学総合情報学部

著者所属

株式会社セキュアブレイン

著者所属

株式会社セキュアブレイン

著者所属

東京情報大学総合情報学部

著者所属(英)

Tokyo University of Information Sciences, Graduate School of Infomatics

著者所属(英)

Tokyo University of Information Sciences，Department of Informatics

著者所属(英)

Tokyo University of Information Sciences，Department of Informatics

著者所属(英)

Tokyo University of Information Sciences，Department of Informatics

著者所属(英)

SecureBrain Corporation

著者所属(英)

SecureBrain Corporation

著者所属(英)

Tokyo University of Information Sciences, Department of Infomatics

著者名

田谷, 透
花田, 真樹
村上, 洋一
早稲田, 篤志
石田, 裕貴
三村, 隆夫
布広, 永示

著者名(英)

Toru, Taya
Masaki, Hanada
Yoichi, Murakami
Atsushi, Waseda
Yuki, Ishida
Takao, Mimura
Eiji, Nunohiro

論文抄録

内容記述タイプ

Other

内容記述

近年，Web サービスを外部から利用するために WebAPI を公開するケースが増えている．一方，WebAPI の脆弱性を悪用した被害も増加傾向にある．WebAPI の脆弱性を悪用した被害防止のため，OWASP（Open Web Application Security Project）は，報告書（OWASP API Security Top 10）に，WebAPI のセキュリティリスクの高い 10 項目の脆弱性の内容を記述している．しかし，報告書には，攻撃の具体的手法と詳細な対策手法が記述されていない．そのため，既存の WebAPI の脆弱性診断ツールにおいて，検出困難な脆弱性の項目が存在する．既存の WebAPI の脆弱性診断ツールは，事前に取り決めた検出クエリを送信し，そのレスポンスより脆弱性の検出を行う．本研究では，WebAPI のリファレンスを自動的に取得し，Web アプリケーションが持つ手順や情報を考慮したリクエストとそのレスポンスの解析を繰り返し行う脆弱性診断方式を提案する．これにより，報告書に記述されている脆弱性を標的とした攻撃のうち，既存の脆弱性診断ツールで検出困難な脆弱性の項目に対する脆弱性診断が可能となる．

論文抄録(英)

内容記述タイプ

Other

内容記述

In recent years, WebAPIs are being published to allow users to use Web services.On the other hand, the number of attacks that exploit WebAPI vulnerabilities is increasing. In order to prevent damage caused by WebAPI vulnerabilities, the OWASP （Open Web Application Security Project） has published a guideline （OWASP API Security Top 10） describing the ten vulnerabilities that pose the highest security risk to WebAPIs.However, the guideline does not describe the detailed methods of attack and countermeasure. Therefore, there are some vulnerabilities that are difficult to detect with existing WebAPI vulnerability assessment tools.In this paper, we propose a vulnerability assessment method that automatically obtains the WebAPI reference and analyzes the request and its response. The proposed vulnerability assessment method will enable vulnerability assessment for vulnerability items that are difficult to be detected by existing vulnerability assessment tools among the attacks targeting the vulnerabilities described in the guideline.

書誌情報

コンピュータセキュリティシンポジウム2021論文集

p. 1085-1092, 発行日 2021-10-19

出版者

言語

出版者

情報処理学会

戻る

views

See details

	Views

Versions

Ver.1

2025-01-19 16:34:59.820342

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

リクエストとそのレスポンスを考慮したWebAPI脆弱性診断手法

× 田谷, 透

× 花田, 真樹

× 村上, 洋一

× 早稲田, 篤志

× 石田, 裕貴

× 三村, 隆夫

× 布広, 永示

× Toru, Taya

× Masaki, Hanada

× Yoichi, Murakami

× Atsushi, Waseda

× Yuki, Ishida

× Takao, Mimura

× Eiji, Nunohiro

Versions

Share

Cite as

エクスポート