2009 Fiscal Year Annual Research Report
Webアプリケーションにおけるクロスドメイン脆弱性の自動検出手法
Project/Area Number |
09J05271
|
Research Institution | Keio University |
Principal Investigator |
小菅 祐史 Keio University, 大学院・理工学研究科, 特別研究員(DC1)
|
Keywords | クロスサイト・スクリプティング / セキュリティ / 脆弱性検出 / Webアプリケーション |
Research Abstract |
本年度は主にクロスドメイン・アクセスを悪用した攻撃の一種である、クロスサイト・スクリプティングに関する脆弱性自動検出手法の研究に取り組んだ。そこでまず、次の3点の調査を行なった。 ・脆弱性の特徴と被害状況 ・攻撃手法(単純な手法から近年出現した巧妙な手法まで) ・既存の対策手法と脆弱性検出手法 これらの調査によって、既存の脆弱性検出手法は検出能力が低く、新たな攻撃手法に対応していないことから、検出できない脆弱性があることがわかった。そこで私は既存の手法では検出できない脆弱性も検出することができるようにアルゴリズムを組み立て、実装を行なった。実験結果から、手法の有効性を示すことができたので、一流会議へ論文投稿を行なっている。 昨年度に計画した予定では、本年度中にクロスサイト・スクリプティングに対する脆弱性の自動検出を可能にするシステムのプロトタイプを構築し、翌年以降行う評価実験のためにプロトタイプの動作確認を行う予定だった。この予定より現在の進捗はかなり進んでおり、順調である。 学会活動では、4月に行われた情報処理学会第111回システムソフトウエアとオペレーティング・システム研究会で、情報収集を行うとともに、現在までに考えているアイデアを発表し、最優秀学生発表章をいただいた。また、11月にシカゴで行われたセキュリティの一流国際会議であるCCS(The annual ACM Computer and Communications Security Conference)に参加し、情報収集を行った。クロスサイト・スクリプティングだけではなく、他の新しい攻撃手法や対策手法を学ぶことができ、今後の研究に活かしていきたいと思う。
|