WEKO3
アイテム
Clickjacking脆弱性の自動検査手法
https://ipsj.ixsq.nii.ac.jp/records/90462
https://ipsj.ixsq.nii.ac.jp/records/904624a388e1e-fbff-4b96-8dee-b05577bcec53
名前 / ファイル | ライセンス | アクション |
---|---|---|
![]() |
Copyright (c) 2013 by the Information Processing Society of Japan
|
|
オープンアクセス |
Item type | SIG Technical Reports(1) | |||||||
---|---|---|---|---|---|---|---|---|
公開日 | 2013-02-21 | |||||||
タイトル | ||||||||
タイトル | Clickjacking脆弱性の自動検査手法 | |||||||
言語 | ||||||||
言語 | jpn | |||||||
キーワード | ||||||||
主題Scheme | Other | |||||||
主題 | セキュリティ | |||||||
資源タイプ | ||||||||
資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
資源タイプ | technical report | |||||||
著者所属 | ||||||||
慶應義塾大学 | ||||||||
著者所属 | ||||||||
慶應義塾大学/JST CREST | ||||||||
著者名 |
高松勇輔
河野健二
× 高松勇輔 河野健二
|
|||||||
論文抄録 | ||||||||
内容記述タイプ | Other | |||||||
内容記述 | ウェブアプリケーションの脆弱性を突く新たな攻撃として,clickjackingという手法が知られるようになってきた.clickjackingとはユーザのクリックに対し,ユーザの意図とは異なる操作を強制する攻撃である.例えば,あるリンク上に別のサイトのリンクを透明に重ねて表示することで,被害者の意図とは異なるリンクをクリックさせ,意図しない商品購入を強制することなどができる.本研究では,ウェブアプリケーションの開発段階にclickjacking脆弱性を自動的に検査する手法を提案する.Clickjackingを防止するためには,「表示方法を利用した手法」,「偽のカーソルを利用した手法」,「タイミングを利用した手法」といったclickjackingの手法についての詳細な知識とその対策手法に精通している必要がある.また,対策手法そのものが正しく実装されていることを確認するためには,実際に対象のウェブアプリケーションに攻撃を行う必要があり,そのためにはウェブアプリケーションが持つリンクやコンテンツごとに攻撃を作成する必要がある.さらに対策の不備を突いた攻撃手法も複数存在しているために,このような攻撃についての検査も必要となる.検査を自動化することによって,開発者は検査に必要となるこれらの負荷や労力を軽減することができる.実験では,提案手法を用いてclickjackingの脆弱性を埋め込んだウェブアプリケーションと実運用されているものの脆弱性を正確に検査できることを確認した. | |||||||
書誌レコードID | ||||||||
収録物識別子タイプ | NCID | |||||||
収録物識別子 | AN10444176 | |||||||
書誌情報 |
研究報告システムソフトウェアとオペレーティング・システム(OS) 巻 2013-OS-124, 号 10, p. 1-7, 発行日 2013-02-21 |
|||||||
Notice | ||||||||
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
出版者 | ||||||||
言語 | ja | |||||||
出版者 | 情報処理学会 |