著者

高橋 裕樹 オマールイスマイル 門林雄基 山口 英

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告インターネットと運用技術(IOT) (ISSN:09196072)

巻号頁・発行日

vol.2003, no.50, pp.21-26, 2003-05-21

---

Cookieのみでセッション管理を行っているウェブサイトでは、Cross-Site Scripting(XSS)脆弱性を利用した攻撃によってCookieが漏洩し,Cookieに関連づけられた個人情報が漏洩の危機にさらされる.この問題に対し,Webサーバ側でのXSS対策手法が存在するが,XSS脆弱性の危険性は軽視されており,また運用面での負担が大きいことから,これらの既存の対策手法には限界がある.本論文では,クライアントがWebページに入力した情報を利用してXSS脆弱性の有無を自動判定し,XSS脆弱性を持つWebページの情報を収集,共有するシステムを提案する.提案システムより,XSS脆弱性を狙った攻撃からユーザを保護することが可能になる.また,収集した脆弱性情報によって,XSS脆弱性を保持するサーバに対して警告を発することも可能となる.Cross-site scripting(XSS) attacks target web sites with Cookie-based session management, resulting in the leakage of privacy information. Although several server-side countermeastures for XSS attacks do exist, such techniques have not been applied in a universal manner, because of their deployment overhead and the poor understanding of the XSS problem. This paper proposes a client-side system that automatically detects XSS vulnerability by manipulating either client request or server response. The system also shares the indication of vulnerability via central repository. The purpose of the proposed system is two-fold: to protect users from XSS attacks, and to warn web servers with XSS vulnerabilities.