著者

野村 孔命 力武 健次 松本 亮介

雑誌

研究報告インターネットと運用技術(IOT) (ISSN:21888787)

巻号頁・発行日

vol.2018-IOT-41, no.24, pp.1-6, 2018-05-10

---

データベースの情報を利用して動作する Web アプリケーションでは,入力検証やクエリ発行処理の脆弱性により,開発者の想定していない不正クエリがデータベースに発行され機密情報を窃取される攻撃が発生する.このような攻撃に対して,Web アプリケーションがデータベースに発行するクエリのホワイトリストを作成し不正クエリの検知を行う方法がとられてきたが,Web アプリケーションの大規模化や実装言語の多様化に伴いホワイトリストの作成が難しくなっている.そのため,Web アプリケーション解析や運用時のクエリを用いた学習により生成を用いてホワイトリスト作り,検知する手法が提案されている.しかし,手法が実装言語依存の問題や Web アプリケーションの仕様変更の頻度が高いことによるホワイトリストの管理が難しい問題がある.本稿では,Web アプリケーションの動作を保証するためのテストがあり,Web アプリケーションの更新に追従してテストの更新が行われる開発プロセスが採用されていることを前提とし,テスト時に発行されるクエリからホワイトリストを自動作成する手法を提案する.Web アプリケーションの運用時には作成されたホワイトリストを用いて不正クエリを検知する.提案手法は,Web アプリケーションの複雑性や実装言語に依存せずにクエリのホワイトリストを自動作成することができ,新クエリが実装された場合もテストの更新に伴いホワイトリストが更新される.また,検知されたクエリはテストされていないクエリもしくは不正クエリであり,これらを早期に発見することで原因となる Web アプリケーションの脆弱性が長期化することを防ぐことができる.