| Item type |
SIG Technical Reports(1) |
| 公開日 |
2018-06-07 |
| タイトル |
|
|
タイトル |
テイント追跡手法SWIFTによるディレクトリトラバーサルの検出 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Detecting Directory Traversal using String Wise Information Tracking |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
セキュリティ・ディペンダビリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
東京大学 |
| 著者所属 |
|
|
|
東京大学 |
| 著者所属 |
|
|
|
東京大学 |
| 著者所属 |
|
|
|
東京大学 |
| 著者名 |
田仲, 史周
宮永, 瑞紀
入江, 英嗣
坂井, 修一
|
| 著者名(英) |
Fumichika, Tanaka
Mizuki, Miyanaga
Hidetsugu, Irie
Shuichi, Sakai
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
コンテンツ管理システム (CMS) の利用増加などによりインジェクションアタックヘの対策が重要になっている.インジェクションアタックに対する一般的な対策は既知のアタックをデータベース化して入力と照合する事で侵入を検知するものであるが,未知のコードによる攻撃を検出しにくい欠点がある.攻撃コードの既知 / 未知に関わらず包括的なインジェクションアタック検出を可能とする手法として,SWIFT (String Wise Information Tracking) が研究されている.これは,外部入力の文字列がその後どのように使わるかをチェックすることで,攻撃成立の前に実行を停止させる手法である.SWIFT の実証実装 PHP-SWIFT では最新の SQL インジェクション攻撃をデータベース無しで検出できることが確認されているが,この検出部は SQL インジェクションのみをターゲットとしていた.本研究では,他の性質を持つ主要なインジェクション攻撃としてディレクトリトラバーサル攻撃に着目し,PHP-SWIFT 用に同様に検出部を提案する.この拡張によって SWIFT-PHP の実用可能範囲を広げると共に,更に包括的な攻撃検出に向けたフレームワークを開発する.Wordpress プラグインの脆弱性を対象としたディレクトリトラバーサル攻撃を再現し行った評価では,用意した全ての攻撃を検出する事に成功した. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN10096105 |
| 書誌情報 |
研究報告システム・アーキテクチャ(ARC)
巻 2018-ARC-231,
号 21,
p. 1-6,
発行日 2018-06-07
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8574 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-ARC18231021.pdf (455.6 kB)
