Webアプリケーションにおけるクロスドメイン脆弱性の自動検出手法

Web应用跨域漏洞自动检测方法

• 批准号: 09J05271
• 负责人: 小菅 祐史
• 金额: $ 1.34万
• 依托单位: Keio University
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for JSPS Fellows
• 财政年份: 2009
• 资助国家: 日本
• 起止时间: 2009 至 2011
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-09J05271/
• 关键词: セキュリティ; 脆弱性検出; Webアプリケーション; クロスサイト・スクリプティング

本年度は、昨年度までに行った脆弱性検出手法を拡張し、より多くのWebアプリケーションに対して脆弱性を検出することができるように、汎用性の高い脆弱性検出システムの研究を行った。世の中に存在する多くのWebアプリケーションは、使用目的や開発環境に合わせて、様々なプログラミング言語で記述され、言語に応じた実行環境で稼動している。昨年度までに私が取り組んだ脆弱性検出手法には、Webアプリケーションの記述言語や環境に依存する静的解析機構を部分的に用いていており、環境によっては脆弱性検出を行うことができない場合が存在する。そこで、多くの環境において共通して利用する機能のみを定義した抽象度の高い機構を用意し、様々な環境においても比較的容易に脆弱性検出手法を導入することができるようにインタフェースを定義した。本システム自体は拡張することを前提に構築されており、インタフェースを利用して、実際に脆弱性検出を行う機構をプラグインとして適宜追加することができる。本システムと同様に、拡張可能な脆弱性検出用ソフトウェアが存在するものの、インタフェースの定義方法に問題があり、潜在的に検出することができない脆弱性が存在することがわかった。一方、私の提案システムは、それらが実行できない脆弱性検出を行うことができる。本年度の成果は、汎用性の高い脆弱性検出システムの設計方法として、論文誌「日本ソフトウェア科学会コンピュータソフトウェア」に論文を投稿し、採択された。また、立命館大学情報理工学部にてrWebセキュリティ技術に関する講演会&研究討論会」と題した招待講演を行うなど、対外活動も行った。

In this year's and last year's annual survey, vulnerability has been introduced into practice, Web, vulnerability, vulnerability, sex, and high vulnerability. There are many problems in the world, such as the use of the Web environment, the use of the environment and the environment. Last year, the private data collection group was responsible for the vulnerability analysis, and the Web information system was used in the analysis of environmental dependencies and environmental vulnerabilities in the part of the analytical mechanism. The general purpose of environmental protection and multi-environmental protection is to make use of the mechanism to define the degree of abstraction, the intention of the organization, and the ease of vulnerability measurement in the environment. The premise of this information system is that it is necessary to make full use of the information, make use of it, and make use of the vulnerability of the bank. In this document, you may find that there is a problem with the definition method, and that there is a problem with the definition method, and that there is a vulnerability problem. On the other hand, the private party proposed that the government should make a decision on the issue of vulnerability. on the other hand, the private party proposed that the private party should make a proposal, and the private party should make a proposal. This year, the results and vulnerability of this year have been published, and their design methods and methods have been published and published in the Japanese Academy of Medical Sciences. The Department of Intelligence, Science and Engineering of the University will be invited to hold rWeb events, technical training, and research activities.

项目成果

Amberate : Webアプリケーションの脆弱性自動検出フレームワーク

Amberate：Web 应用程序的自动漏洞检测框架

• 发表时间: 2011
• 期刊: 日本ソフトウェア科学会コンピュータソフトウェア
• 作者: 小菅祐史;河野健二
• 通讯作者: 河野健二

Generating Effective Attacks for Efficient and Precise Penetration Testing against SQL Injection

生成有效的攻击，以针对 SQL 注入进行高效、精确的渗透测试

• 发表时间: 2011
• 期刊: 情報処理学会 論文誌 コンピューティングシステム(ACS)
• 作者: Yuji Kosuga;Miyuki Hanaoka;Kenji Kono
• 通讯作者: Kenji Kono