講演名 | 2007-04-20 モデル検査によるWebセッションのセキュリティ欠陥検出手法 森川 郁也, 山岡 裕司, 中山 裕子, |
---|---|
PDFダウンロードページ | PDFダウンロードページへ |
抄録(和) | Webアプリケーションのセッションに関するセキュリティ欠陥をモデル検査によって発見する手法を提案する.クライアントとサーバの振る舞いを一種のプロトコルと見なしてモデルに表現し検査することで,セッション固定などの攻撃を許す欠陥を設計段階で防ぐことができる.提案するモデル化手法は,HTTPS通信,攻撃者に誘導されうるブラウザ,クッキーの強制といったWeb特有の性質を簡潔に表現できる点に特徴がある.またサンプルWebアプリケーションに同手法を適用してモデル検査を行い,実際に欠陥が発見できることや,単純な場合には無謬性を検証できることを示す. |
抄録(英) | We propose a method to find security flaws related to sessions in Web applications with model checking. In this method, the interactions among the server and the clients are modeled as a protocol, and checked to see if there is any security flaw that allows session-related attacks such as session fixation, which can then be fixed in earlier development stages. The proposed modeling method has its characteristics of efficiently representing unique features of Web, such as HTTPS secure channel and attacker's capability to misguide browsers and force them to accept forged cookies. Experimental results of model checking are also shown, in which we demonstrate that security flaws can be found, and even flawlessness can be verified in simple cases. |
キーワード(和) | Webアプリケーション / セッション / セキュリティ / モデル検査 |
キーワード(英) | Web application / session / security / model checking |
資料番号 | SS2007-6,KBSE2007-6 |
発行日 |
研究会情報 | |
研究会 | KBSE |
---|---|
開催期間 | 2007/4/12(から1日開催) |
開催地(和) | |
開催地(英) | |
テーマ(和) | |
テーマ(英) | |
委員長氏名(和) | |
委員長氏名(英) | |
副委員長氏名(和) | |
副委員長氏名(英) | |
幹事氏名(和) | |
幹事氏名(英) | |
幹事補佐氏名(和) | |
幹事補佐氏名(英) |
講演論文情報詳細 | |
申込み研究会 | Knowledge-Based Software Engineering (KBSE) |
---|---|
本文の言語 | JPN |
タイトル(和) | モデル検査によるWebセッションのセキュリティ欠陥検出手法 |
サブタイトル(和) | |
タイトル(英) | A Method of Detecting Security Flaws in Web Sessions through Model Checking |
サブタイトル(和) | |
キーワード(1)(和/英) | Webアプリケーション / Web application |
キーワード(2)(和/英) | セッション / session |
キーワード(3)(和/英) | セキュリティ / security |
キーワード(4)(和/英) | モデル検査 / model checking |
第 1 著者 氏名(和/英) | 森川 郁也 / Ikuya MORIKAWA |
第 1 著者 所属(和/英) | 株式会社 富士通研究所 Fujitsu Laboratories Limited |
第 2 著者 氏名(和/英) | 山岡 裕司 / Yuji YAMAOKA |
第 2 著者 所属(和/英) | 株式会社 富士通研究所 Fujitsu Laboratories Limited |
第 3 著者 氏名(和/英) | 中山 裕子 / Yuko NAKAYAMA |
第 3 著者 所属(和/英) | 株式会社 富士通研究所 Fujitsu Laboratories Limited |
発表年月日 | 2007-04-20 |
資料番号 | SS2007-6,KBSE2007-6 |
巻番号(vol) | vol.107 |
号番号(no) | 5 |
ページ範囲 | pp.- |
ページ数 | 6 |
発行日 |