2021 Fiscal Year Research-status Report
仮想マシンを活用したSQL・NoSQLインジェクション対策演習支援システム
| Project/Area Number |
21K12185
|
|---|
| Research Institution | Kindai University |
|---|
Principal Investigator |
井口 信和 近畿大学, 理工学部, 教授 (50351565)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | SQLインジェクション対策学習 / 演習システム / 脆弱性発見演習 |
|---|
| Outline of Annual Research Achievements |
本研究課題では、Webアプリケーションに対するSQLおよびNoSQLインジェクション対策の学習を支援する、仮想マシンを活用した実践的な演習システムの開発研究を目的としている。本システムによって、学習者は安全かつ手軽にセキュリティ対策の実践的な演習が実施できる。さらに本システムを用いることで、学習者は一人で対策演習と攻撃演習を実施することが可能となるため、身近に他の学習者がいない環境、たとえば対面による実習・演習が困難な場合や学習者が自宅で自己学習として演習を行う場合でも、対策側と攻撃側の双方の演習が可能となる。
R3年度では、個々のWebページを対象とするSQLインジェクション対策演習機能を実装した。開発実装した機能によって、標準的なPC上で、個々のWebページに対するSQLインジェクションの攻撃手法とそれに対する対策手法の演習の実施が可能となった。
具体的に実装した機能は、 SQLインジェクション対策演習部・攻撃演習部である。攻撃演習部ではWebアプリケーション脆弱性診断ツールであるBurp Suiteを組み込むことで、脆弱性の発見方法の学習を可能とした。脆弱性を発見したら、OWASO ZAPとSQLmap等を使って、実際にSQLインジェクション攻撃の体験が可能となった。対策演習部によって、対策手法の解説ページを参照しながら、Webアプリケーションのソースコードの編集を可能である。
情報系の学生20人を対象とした利用実験を実施した。事前テストを実施後、被験者を座学によって学習するグループと、本システムを使用して学習するグループの2つに分け、学習後に事後テストを実施した。その結果から、開発した機能の有用性を評価した。実験の結果、座学で学習したグループと比較して本機能を利用したグループの方がより有意に点数が高いことが確認できた。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
概ね計画どおり進んでいる。
当初の計画では、R3年度は、個々のWebページを対象とするSQLインジェクション対策演習機能を実装を計画していたが、予定どおり機能の開発は完了し、利用評価によって、機能の有用性を確認した。
また、R4年度に予定しているNoSQLインジェクション対策演習機能についても一部の機能の実装を開始した。
|
| Strategy for Future Research Activity |
当初の予定どおり、R4年度はNoSQLインジェクション対策演習機能を開発する予定である。
すでに一部の機能については開発・実装を開始している。演習用 Docker イメージの構築には Ubuntu18.04 のイメージを基に、演習に必要なソフトウェ アを導入することで作成する。それぞれ Web サーバソフ トウェアには Apache2.4.29、サーバーサイド言語には PHP7.2.24/Node.js v8.10.0、NoSQL データベースには MongoDB v3.6.3 を導入する予定である。
|
| Causes of Carryover |
現地での参加を予定していた学会が、すべてオンライン開催となり、旅費を使用しなかったため、その金額が次年度使用額となった。
使用計画については,現地開催の学会への参加旅費と開発したシステムの利用評価実験のためのPCを購入する費用に充てる予定である.
|
Research Products
(1 results)
