プレースホルダ付きSQL送信文を持つJavaプログラムを対象としたSQLインジェクション脆弱性検査法の提案と評価

法安 辰典; 西田 誠幸

講演名	2011-07-30 プレースホルダ付きSQL送信文を持つJavaプログラムを対象としたSQLインジェクション脆弱性検査法の提案と評価法安辰典, 西田誠幸,
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	JDBCが提供するPreparedStatementはコンパイル済みのSQL文を格納するオブジェクトである.PreparedStatementが持つプレースホルダの構文と,setString()などの設定機能メソッドを利用することで,SQLインジェクション脆弱性を未然に防ぎ,安全で可読性が高いJavaプログラムを記述できることが知られている.本稿では,PreparedStatementクラスを使用してSQL文を実行するJavaプログラムを対象として,SQLインジェクション脆弱性検査を行う2種類の静的解析法を提案し,解析時間と脆弱性判定の正確さの点で実験に基づいた比較評価を行う.
抄録(英)	PreparedStatement provided by JDBC API is an object that represents a precompiled SQL statement. The placeholder syntax and the setter methods of PreparedStatement enhance security and readability of Java programs. This paper introduces two static analysis to check SQL injection vulnerability of a given Java programs including PreparedStatement. In addition, this paper reports an experimental evaluation of the two method with respect to the execution time and the preciseness of their results.
キーワード(和)	文字列解析 / データフロー解析 / SQLインジェクション脆弱性 / プレースホルダ
キーワード(英)	String analysis / data-flow analysis / SQL injection vulnerability / placeholder
資料番号	SS2011-24,KBSE2011-21
発行日

研究会情報
研究会	KBSE
開催期間	2011/7/22(から1日開催)
開催地（和）
開催地（英）
テーマ（和）
テーマ（英）
委員長氏名（和）
委員長氏名（英）
副委員長氏名（和）
副委員長氏名（英）
幹事氏名（和）
幹事氏名（英）
幹事補佐氏名（和）
幹事補佐氏名（英）

講演論文情報詳細
申込み研究会	Knowledge-Based Software Engineering (KBSE)
本文の言語	JPN
タイトル（和）	プレースホルダ付きSQL送信文を持つJavaプログラムを対象としたSQLインジェクション脆弱性検査法の提案と評価
サブタイトル（和）
タイトル（英）	An Injection Vulnerability Analysis of Web Applications using String-Taint Analysis
サブタイトル（和）
キーワード(1)（和/英）	文字列解析 / String analysis
キーワード(2)（和/英）	データフロー解析 / data-flow analysis
キーワード(3)（和/英）	SQLインジェクション脆弱性 / SQL injection vulnerability
キーワード(4)（和/英）	プレースホルダ / placeholder
第 1 著者氏名（和/英）	法安辰典 / Tatsunori HOUAN
第 1 著者所属（和/英）	拓殖大学工学部 Faculty of Engineering, Takushoku University
第 2 著者氏名（和/英）	西田誠幸 / Seikoh NISHITA
第 2 著者所属（和/英）	拓殖大学工学部 Faculty of Engineering, Takushoku University
発表年月日	2011-07-30
資料番号	SS2011-24,KBSE2011-21
巻番号（vol）	vol.111
号番号（no）	169
ページ範囲	pp.-
ページ数	5
発行日