Webアプリケーション脆弱性発見のためのソースコード診断ツールの開発
スポンサーリンク
概要
- 論文の詳細を見る
Webアプリケーションのセキュリティ上の脆弱性を発見するための手法の1つにソースコード診断ツールの適用がある.しかし,従来のソースコード診断ツールは,Webアプリケーションのセキュリティに特化したものは少なく,ほとんどはパターンマッチングまたは構文解析を応用した手法を利用しており,高精度で検出可能なセキュリティ上の脆弱性はSQLインジェクションのような主要な脆弱性に限定されるという問題があった.特に,レースコンディション脆弱性については,ブラックボックス試験では検出が困難であり,その高精度な検出は重要な課題であった.我々はJava言語で実装されたWebアプリケーションのセキュリティ上の脆弱性を検出するツールを開発した.特に,レースコンディション脆弱性の検出に対しては,バイトコード解析と独自のオペランドスタックを導入することにより,精度の高い検出を実現した.
- 2008-05-15
著者
-
小黒 博昭
株式会社NTTデータ技術開発本部
-
市原 尚久
株式会社NTTデータ技術開発本部SIアーキテクチャ開発センタ
-
道坂 修
株式会社NTTデータ技術開発本部SIアーキテクチャ開発センタ
-
小黒 博昭
株式会社nttデータ技術開発本部siアーキテクチャ開発センタ
-
市原 尚久
株式会社nttデータ
関連論文
- 時刻信頼性を検証するタイムスタンプ検証サーバ(ネットワークセキュリティ,情報システムを支えるコンピュータセキュリティ技術の再考)
- Webアプリケーション脆弱性発見のためのソースコード診断ツールの開発
- B-16-8 時刻認証基盤技術実験装置 : (3)複数方式タイムスタンプ検証サブシステム : 時刻トレーサビリティ(B-16.インターネットアーキテクチャ, 通信2)
- 核非線形判別分析による多重バイオメトリクス
- DVCSを拡張した複数方式タイムスタンプ検証サーバの開発(セッション1-C : PKI)
- DVCSを拡張した複数方式タイムスタンプ検証サーバの開発(セッション1-C : PKI)
- DVCSを拡張した複数方式タイムスタンプ検証サーバの開発
- メタモデルを用いたセキュアシステム開発支援ツールの開発(モデル指向(一般セッション))
- グループトピックス 次世代電子政府・電子自治体に向けた認証プラットフォームの開発
- メディア応用システム(メディア情報,映像情報メディア年報)
- 文書交換における外字問題の一考察
- 文書交換における外字問題の一考察
- ICカード開発におけるセキュリティ試験手法に関する提案
- マルチユーザ利用を考慮したスマートデバイス向けデータ保護方式の提案
- マルチユーザ利用を考慮したスマートデバイス向けデータ保護方式の提案