著者
小黒 博昭 市原 尚久 道坂 修
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2008, no.45, pp.97-102, 2008-05-15

Web アプリケーションのセキュリティ上の脆弱性を発見するための手法の 1 つにソースコード診断ツールの適用がある。しかし、従来のソースコード診断ツールは、Web アプリケーションのセキュリティに特化したものは少なく、ほとんどはパターンマッチングまたは構文解析を応用した手法を利用しており、高精度で検出可能なセキュリティ上の脆弱性は SQL インジェクションのような主要な脆弱性に限定されるという問題があった。特に、レースコンディション脆弱性については、ブラックボックス試験では検出が困難であり、その高精度な検出は重要な課題であった。我々は Java 言語で実装された Web アプリケーションのセキュリティ上の脆弱性を検出するツールを開発した。特に、レースコンディション脆弱性の検出に対しては、バイトコード解析と独自のオペランドスタックを導入することにより、精度の高い検出を実現した。The application of source code diagnosis tools is one of the techniques to detect Web application vulnerability with respect to the security. However, there are few conventional tools specialized to the security of Web applications. Since most of the tools use the technique of either a pattern matching or a syntax analysis, there is a problem that vulnerability which the tools can detect with high precision is limited to major vulnerability such as SQL injection. Especially, detecting race condition vulnerability with high precision is important because it is difficult to detect it in black-box tests. We have developed a tool which detects vulnerability with respect to the security of Web application implemented with Java language. As for the detection of the race condition vulnerability, we have realized it with high precision by introducing a bytecode analysis and an original operand stack.