インジェクション系攻撃防止ライブラリの評価

大久保 隆夫; 田中 英彦

講演名	2007-07-19 インジェクション系攻撃防止ライブラリの評価大久保隆夫, 田中英彦,
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	ソフトウェアの脆弱性の中で,入力の中にプログラムへの指令を挿入することにより攻撃を可能にするインジェクション脆弱性は大きな割合を占める.インジェクション脆弱性の解決は,その確認手段までを含めると既存のプログラミング技法やライブラリでは不十分であった.筆者らは対策の確認容易性を考慮した,インジェクション攻撃全般に適用可能なコーディング規約セットとライブラリを提案している.本報告では,提案したライブラリをWebアプリケーションのサンプルプログラムに適用し,他の既存手法と比較する形で評価を行った.また,評価によって抽出された課題に基づきライブラリの改善を行った.
抄録(英)	Injection vulnerabilities, which enable attacks done by injecting command string into input data, have big percentage of total software vulnerabilities. Existing Programming techniques and libraries are not sufficient for complete solution and easy testing methods. We proposed a general convention set and a secure library for preventing and testing injection attacks. In this papaer, the library are evalluated with some sample application programs, and compared with other existing methods. And some improvement has done based on the results.
キーワード(和)	ソフトウェア / 脆弱性 / インジェクション攻撃 / コーディング規約 / ライブラリ
キーワード(英)	software / vulnerability / injection attacks / coding convewntion / library
資料番号	ISEC2007-41,SITE2007-35
発行日

研究会情報
研究会	SITE
開催期間	2007/7/12(から1日開催)
開催地（和）
開催地（英）
テーマ（和）
テーマ（英）
委員長氏名（和）
委員長氏名（英）
副委員長氏名（和）
副委員長氏名（英）
幹事氏名（和）
幹事氏名（英）
幹事補佐氏名（和）
幹事補佐氏名（英）

講演論文情報詳細
申込み研究会	Social Implications of Technology and Information Ethics (SITE)
本文の言語	JPN
タイトル（和）	インジェクション系攻撃防止ライブラリの評価
サブタイトル（和）
タイトル（英）	Evaluation of a library against injection attacks
サブタイトル（和）
キーワード(1)（和/英）	ソフトウェア / software
キーワード(2)（和/英）	脆弱性 / vulnerability
キーワード(3)（和/英）	インジェクション攻撃 / injection attacks
キーワード(4)（和/英）	コーディング規約 / coding convewntion
キーワード(5)（和/英）	ライブラリ / library
第 1 著者氏名（和/英）	大久保隆夫 / Takao OKUBO
第 1 著者所属（和/英）	(株)富士通研究所 Fujitsu Laboratories ltd.
第 2 著者氏名（和/英）	田中英彦 / Hidehiko TANAKA
第 2 著者所属（和/英）	情報セキュリティ大学院大学 Institute of Information Security
発表年月日	2007-07-19
資料番号	ISEC2007-41,SITE2007-35
巻番号（vol）	vol.107
号番号（no）	139
ページ範囲	pp.-
ページ数	8
発行日