講演抄録/キーワード |
講演名 |
2007-07-19 16:10
インジェクション系攻撃防止ライブラリの評価 ○大久保隆夫(富士通研/情報セキュリティ大)・田中英彦(情報セキュリティ大) |
抄録 |
(和) |
ソフトウェアの脆弱性の中で,入力の中にプログラムへの指令を挿入することにより攻撃を可能にするインジェクション脆弱性は大きな割合を占める.インジェクション脆弱性の解決は,その確認手段までを含めると既存のプログラミング技法やライブラリでは不十分であった.筆者らは対策の確認容易性を考慮した,インジェクション攻撃全般に適用可能なコーディング規約セットとライブラリを提案している.本報告では,提案したライブラリをWebアプリケーションのサンプルプログラムに適用し,他の既存手法と比較する形で評価を行った.また,評価によって抽出された課題に基づきライブラリの改善を行った. |
(英) |
Injection vulnerabilities, which enable attacks done by injecting command string into input data, have big percentage of total software vulnerabilities. Existing Programming techniques and libraries are not sufficient for complete solution and easy testing methods. We proposed a general convention set and a secure library for preventing and testing injection attacks. In this papaer, the library are evalluated with some sample application programs, and compared with other existing methods. And some improvement has done based on the results. |
キーワード |
(和) |
ソフトウェア / 脆弱性 / インジェクション攻撃 / コーディング規約 / ライブラリ / / / |
(英) |
software / vulnerability / injection attacks / coding convention / library / / / |
文献情報 |
信学技報, vol. 107, pp. 177-184, 2007年7月. |
資料番号 |
|
発行日 |
2007-07-12 (ISEC, SITE) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
PDFダウンロード |
|
|