Webアプリケーションの開発時におけるSession管理の脆弱性の自動検査手法

スポンサーリンク

概要

• 論文の詳細を見る

• ログインや商品購入などの機能を持つ Web アプリケーションが利便性のためにセッションを採用している.セッションはユーザの状態 (ログイン状態やページ遷移の状態などの情報) などの情報である.それぞれのユーザは Web アプリケーションで管理しているセッションと関連づけられている.攻撃者はユーザのセッションを乗っ取ることでユーザの識別を乗っ取ることができるために,セッションは攻撃者の標的になっている.セッション管理の脆弱性を取り除くためには,実運用前にこれらの脆弱性に対する検査を Web アプリケーションに行うことが重要である.しかしこうした検査を行うためには開発者には脆弱性についての十分な知識が必要であるため,開発者がこれらの脆弱性を検査することは難しい.本論文では Web アプリケーションにセッション管理の脆弱性が存在するかを自動的に検査するシステムを提案する.提案システムはこれらの脆弱性を突く攻撃を自動的に生成する.そして対象の Web アプリケーションに対して生成した攻撃を実行し,攻撃が成功したか調査することで脆弱性を検査する.Session Fixation と Cross-Site Request Forgery の脆弱性を検査するプロトタイプを実装し,提案システムがオープンソースの Web アプリケーションの脆弱性を検出できることを示す.

• 2011-07-20

著者

• 河野 健二

  慶應義塾大学

• 小菅 祐史

  慶應義塾大学

• 高松 勇輔

  慶應義塾大学

関連論文

• 見える障害を見えなくする・見えない障害を見えるようにする(ネットワーク環境でのディペンダビリティ)
• 準パススルー型仮想マシンモニタBitVisorの設計と実装(OS-4:仮想化,2008年並列/分散/協調処理に関する『佐賀』サマー・ワークショップ(SWoPP佐賀2008))
• レイヤ7の文脈を利用したインターネットサーバ向けサンドボックス
• なぜソフトウェア論文を書くのは難しい(と感じる)のか
• 特集「ソフトウェア論文」の編集にあたって
• 特集「ソフトウェア論文」の編集にあたって(ソフトウェア論文)
• グリッド環境におけるVM上でのジョブ実行の検討(グリッド基盤システム)
• TCP ストリームに対するフィルタリングによるインターネット・サーバの安全性向上(インターネット・サーバ)
• OSDI 2004
• 細粒度保護ドメインを用いたsetuidプログラムの特権コード最小化
• 細粒度保護ドメインによる軽量サンドボックスの実現
• 実行可能コンテンツの安全な実行環境(システムソフトウェアの新しい潮流)
• ヘルパアプリケーションの安全な実行環境
• Webブラウザのための安全なプログラム実行環境の実現
• セグメント機構を用いた細粒度保護ドメインの性能分析
• 拡張コンポーネントのためのカーネルによる細粒度軽量保護ドメインの実現 (新しいシステムソフトウェア)
• 細粒度保護ドメインのための多重保護ぺージテープルの提案と実装
• MashCache: Flash Crowds耐性を持つマッシュアップサービス実現手法
• Yataglass:攻撃の擬似実行による攻撃メッセージの振舞いの解析
• マルチコアCPUの電力消費特性を考慮した仮想CPUスケジューラ
• IaaS環境における仮想ディスクの効率的な同期手法
• オペレーティングシステムのメモリ情報を考慮した仮想マシンスナップショット高速化手法
• 図表的文書の記述モデルAFAL
• ウェブアプリケーションの性能異常兆候検出への管理図の適用
• レイヤ7プロトコルの状態を考慮した仮想マシンの移送(OS-6:分散システム,2008年並列/分散/協調処理に関する『佐賀』サマー・ワークショップ(SWoPP佐賀2008))
• 応答時間の分散を利用したウェブサーバ接続数の自動設定(最適化と評価)
• Session IDに着目したSession Fixationに対する脆弱性検査手法
• 2000-OS-85-11 Java RMIのための効率の良いオブジェクトシリアライゼーション
• 実行時のフェーズを用いたセキュリティポリシ記述の簡略化
• インターネットサーバにおけるセキュアOSのポリシー記述簡略化
• アプリケーション層プロトコルの実現を容易にするフレームワーク
• リクエスト待機間隔を考慮したウェブサーバのkeep-alive時間の自動設定
• 仮想マシン技術を用いたOS再起動のダウンタイム削減手法
• オペレーティングシステムのメモリ情報を考慮した仮想マシンスナップショット高速化手法
• 効果的な攻撃テストによるWebアプリケーションの脆弱性検出手法
• 効果的な攻撃テストによるWebアプリケーションの脆弱性検出手法
• P2P型分散サーバ上のコンテンツ位置推測による一貫性保証(OS-6:分散システム,2008年並列/分散/協調処理に関する『佐賀』サマー・ワークショップ(SWoPP佐賀2008))
• トポロジの変化を考慮したネットワーク座標系を用いた分散ハッシュテーブル(OS-1:オーバレイネットワーク,2008年並列/分散/協調処理に関する『佐賀』サマー・ワークショップ(SWoPP佐賀2008))
• IaaS 環境における仮想ディスクの効率的な同期手法
• Session ID に着目した Session Fixation に対する脆弱性検査手法
• Yataglass+:メモリスキャン攻撃を組み込んだ攻撃コードの振舞い解析
• ネットワークタイムスタンプによるリモート仮想マシンモニタ検出
• オーバレイネットワークにおける論理リンクの通信遅延変動に関する一考察
• Taint Analysis によるスパイウェア検知手法の回避
• クライアント資源を利用した堅牢なマッシュアップサービスの実現
• 細粒度保護ドメインのための多重保護ページテーブルの提案と実装
• OSとアプリケーションの連携による軽量保護ドメインの実現方式
• OSとアプリケーションの連携による軽量保護ドメインの実現方式
• 編集にあたって(情報爆発時代におけるわくわくするITの創出を目指して)
• SQLインジェクション攻撃の脆弱性の効果的な自動検出手法
• オーバレイネットワークにおける論理リンクの通信遅延変動に関する一考察
• Taint Analysisによるスパイウェア検知手法の回避
• クライアント資源を利用した堅牢なマッシュアップサービスの実現
• マルチコアCPU環境におけるL2キャッシュの影響を考慮したVMスケジューラ
• インタラクティブな組込みソフトウェアの動作検証に適したCPU速度制御手法(セッション8:仮想化技術(2))
• カーネル由来情報に基づくバックグラウンドタスクの制御(セッション7:資源管理)
• 仮想機械技術を利用したキーロガー検知システム(仮想化(1))
• 需要変動に応じた動的再配置が可能なミラーサーバ基盤(並列・分散)
• FoxyTechnique: 仮想機械モニタによるOSの資源管理ポリシーの変更(仮想化(2))
• 需要変動に応じたコンテンツの再配置を行うContent Delivery Network(コンテンツ配信)
• 効果的な攻撃テストによるWebアプリケーションの脆弱性検出手法
• 効果的な攻撃テストによるWebアプリケーションの脆弱性検出手法
• Network IDSの攻撃検知情報を利用したサーバの安全性向上(セキュリティ)
• Yataglass : メモリスキャン攻撃を利用した攻撃コードの振る舞い解析
• 協調型ネットワーク侵入検知システム Brownie の提案と評価
• Yataglass : メモリスキャン攻撃を利用した攻撃コードの振る舞い解析
• 協調型ネットワーク侵入検知システム Brownie の提案と評価
• Yataglass: メモリスキャン攻撃を利用した攻撃コードの振る舞い解析
• 協調型ネットワーク侵入検知システムBrownieの提案と評価
• Yataglass: メモリスキャン攻撃を利用した攻撃コードの振る舞い解析
• 協調型ネットワーク侵入検知システムBrownieの提案と評価
• パッケージマネージャと連携したNIDSの誤検知削減
• ネットワークタイムスタンプによるリモート仮想マシン検出
• 通信の揺らぎを考慮したオーバーレイ開発支援環境(OS-6 : オーバレイ)
• M. Accetta, R. Baron, W. Bolosky, D. Golub, R. Rashid, A. Tevanian and M. Young : Mach : A New Kernel Foundation For UNIX Development(20世紀の名著名論)
• アプリケーション層プロトコルの文脈を考慮したNIDS(OS-1: セキュリティ, 2005年並列/分散/協調処理に関する『武雄』サマー・ワークショップ(SWoPP武雄2005)-研究会・連続同時開催-)
• 性能パラメータの自動調整によるWebサーバの性能向上(サーバ技術)
• アプリケーション層プロトコルに対するパケット・レベルでのフィルタリング(ネットワーク)
• 需要変化に動的に対応する伸縮自在サーバ群の基本機構(コンピュータシステム)
• Network IDS の攻撃検知情報を利用したサーバの安全性向上
• ファイル移送に基づく分散ファイルシステムの設計と実装
• 特定のフォーマットに依存しない文書処理系の設計と実装
• P2P型ファイル検索における高スループット・ピアの自動選択機構(インターネットとセキュリティ)
• ¬
• ¬
• 資源濫用攻撃に耐性のある資源管理方式(資源管理と保護)
• モバイルコード技術によるアプリケーション層プロトコルのユーザ透過な配布機構(ソフトウェアシステム)
• 細粒度保護ドメインによる軽量サンドボックスの実現
• メモリ占有DOS攻撃の防止 : 優先度付きメモリ管理
• Webブラウザのための安全なプログラム実行環境の実現
• メモリ占有DoS攻撃の防止 : 優先度付きメモリ管理
• オブジェクト整列化の動的特化による効率的なRMIの実現
• 悪意ある外部プログラムによるリソース濫用の防止 : ファイルキャッシュのケーススタディー
• 悪意ある外部プログラムによるリソース濫用の防止 : ファイルキャッシュのケーススタディ
• RMIにおけるオブジェクト整列化の実行時特化の枠組
• 自律協調システムのための分散オブジェクトの共有機構
• 1P-11 分散プロセスを一括管理するプロセスマネージャの実装
• 2N-4 遠隔メソッド起動におけるシリアライズの最適化の一手法
• TRaP-RPC:分散透明な遠隔ポインタの効率的な実現法について
• 特集「ソフトウェア論文」の編集にあたって

もっと見る 閉じる

スポンサーリンク