@techreport{oai:ipsj.ixsq.nii.ac.jp:00090462,
 author = {高松勇輔 and 河野健二},
 issue = {10},
 month = {Feb},
 note = {ウェブアプリケーションの脆弱性を突く新たな攻撃として，clickjackingという手法が知られるようになってきた．clickjackingとはユーザのクリックに対し，ユーザの意図とは異なる操作を強制する攻撃である．例えば，あるリンク上に別のサイトのリンクを透明に重ねて表示することで，被害者の意図とは異なるリンクをクリックさせ，意図しない商品購入を強制することなどができる．本研究では，ウェブアプリケーションの開発段階にclickjacking脆弱性を自動的に検査する手法を提案する．Clickjackingを防止するためには，「表示方法を利用した手法」，「偽のカーソルを利用した手法」，「タイミングを利用した手法」といったclickjackingの手法についての詳細な知識とその対策手法に精通している必要がある．また，対策手法そのものが正しく実装されていることを確認するためには，実際に対象のウェブアプリケーションに攻撃を行う必要があり，そのためにはウェブアプリケーションが持つリンクやコンテンツごとに攻撃を作成する必要がある．さらに対策の不備を突いた攻撃手法も複数存在しているために，このような攻撃についての検査も必要となる．検査を自動化することによって，開発者は検査に必要となるこれらの負荷や労力を軽減することができる．実験では，提案手法を用いてclickjackingの脆弱性を埋め込んだウェブアプリケーションと実運用されているものの脆弱性を正確に検査できることを確認した．},
 title = {Clickjacking脆弱性の自動検査手法},
 year = {2013}
}