| 講演名 | 2022-11-07 複数ファイルを経由して発生するDOM Based XSSを防ぐためのリアルタイム検出手法の提案 日浦 秀侑(東邦大), 金岡 晃(東邦大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | DOM Based XSSはインジェクション攻撃に関する脆弱性の中でもJavaScriptのソースコードの不備によって発生する脆弱性である。リアルタイムな静的解析を行い、ソースコード内にDOM Based XSS脆弱性を含めないための研究はESLintを用いて行われる研究が多いが、単一ファイル内に含まれる脆弱性に限られる。そこで本研究では、ESLintの仕組みを応用した、複数ファイルを経由して発生するDOM Bsed XSS脆弱性を検出するための手法を提案する。提案した手法をプロトタイプとしてVisual Studio Codeの拡張機能で実装し、実現可能性について適切に複数のファイルが追跡できるか、処理時間がユーザに影響を与えない程度か評価した。評価から提案した手法は実現可能性が高いことを示し、今後の実現に向けた課題を議論した。 |
| 抄録(英) | DOM Based XSS is one of the most common vulnerabilities related to injection attacks and is caused by improper JavaScript source code. Many studies that detect DOM Based XSS vulnerabilities in source code by real-time static analysis use ESLint. However, they are limited to vulnerabilities contained within a single file. In this study, we propose a method to detect DOM Based XSS vulnerabilities that occur through multiple files, which extends the mechanism of ESLint. A prototype of the proposed method was implemented in a Visual Studio Code extension. We evaluated the feasibility of the proposed method to determine whether it can properly track multiple files and whether the processing time would not affect the user's work. The evaluation showed that the proposed method is highly feasible, and issues for future implementation were discussed. |
| キーワード(和) | DOM Based XSS / 抽象構文木 |
| キーワード(英) | DOM Based XSS / Abstract Syntax Tree |
| 資料番号 | ICSS2022-40 |
| 発行日 | 2022-10-31 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2022/11/7(から2日開催) |
| 開催地(和) | 北海道自治労会館 |
| 開催地(英) | Hokkaido Jichiro Kaikan |
| テーマ(和) | セキュリティ、一般 |
| テーマ(英) | Security, etc. |
| 委員長氏名(和) | 吉岡 克成(横浜国大) |
| 委員長氏名(英) | Katsunari Yoshioka(Yokohama National Univ.) |
| 副委員長氏名(和) | 笠間 貴弘(NICT) / 山田 明(神戸大) |
| 副委員長氏名(英) | Takahiro Kasama(NICT) / Akira Yamada(Kobe Univ.) |
| 幹事氏名(和) | 山内 利宏(岡山大) / 木藤 圭亮(三菱電機) |
| 幹事氏名(英) | Toshihiro Yamauchi(Okayama Univ.) / Keisuke Kito(Mitsubishi Electric) |
| 幹事補佐氏名(和) | 菅原 健(電通大) / 鐘本 楊(NTT) |
| 幹事補佐氏名(英) | Takeshi Sugawara(Univ. of Electro-Comm.) / Yo Kanemoto(NTT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 複数ファイルを経由して発生するDOM Based XSSを防ぐためのリアルタイム検出手法の提案 |
| サブタイトル(和) | |
| タイトル(英) | Real-time detection method for DOM-based XSS via multiple files |
| サブタイトル(和) | |
| キーワード(1)(和/英) | DOM Based XSS / DOM Based XSS |
| キーワード(2)(和/英) | 抽象構文木 / Abstract Syntax Tree |
| 第 1 著者 氏名(和/英) | 日浦 秀侑 / Shu Hiura |
| 第 1 著者 所属(和/英) | 東邦大学(略称:東邦大) Toho University(略称:Toho Univ.) |
| 第 2 著者 氏名(和/英) | 金岡 晃 / Akira Kanaoka |
| 第 2 著者 所属(和/英) | 東邦大学(略称:東邦大) Toho University(略称:Toho Univ.) |
| 発表年月日 | 2022-11-07 |
| 資料番号 | ICSS2022-40 |
| 巻番号(vol) | vol.122 |
| 号番号(no) | ICSS-244 |
| ページ範囲 | pp.13-18(ICSS), |
| ページ数 | 6 |
| 発行日 | 2022-10-31 (ICSS) |