Article thumbnail

ホワイトリストコーディングによるSQLインジェクション攻撃耐性保証方法と実装

By 悠 渡邉

Abstract

ソフトウェアによって管理される情報の重要性が増大し,ソフトウェアの安全性がより一層重要となっている昨今において,ソフトウェアに脆弱性が存在しないことを開発者任せにせずにいかに保証するかは重大な問題となっている.本論文では,ソフトウェア脆弱性の中でもデータベースに対する不正操作を引き起こしWeb アプリケーションを開発・運用する際に問題となるSQL インジェクション攻撃に対する脆弱性に注目し,アプリケーションのSQL インジェクション攻撃に対する耐性を保証する新しい枠組みとその技術的実現手法の提案を行った./ 本論文で提案する新しい耐性保証の手法は,攻撃の検出や脆弱性の検出を用いた既存のSQL インジェクション攻撃対策技術とは異なり,あらかじめ安全なコーディング方法を開発者に対して提供しておき検証時にプログラムがそのコーディング方法のみを利用して開発されていることを技術的に保証することでソフトウェアの安全性を保証する.それゆえ攻撃の検出や脆弱性の検出を利用した既存の手法に比べ,検出漏れにより脆弱性が放置される危険や誤検知によって通常のユーザ操作が拒否される危険性が原理的に小さい手法である.また提案手法の有効性を実証するために,本提案手法で必要となる拡張をオープンソースのリレーショナルデータベース管理システムPostgreSQL に対して施したデータベースと,拡張されたデータベースを利用するためのデータベース接続ライブラリの拡張を行った.報告番号: ; 学位授与年月日: 2009-03-23 ; 学位の種別: 修士 ; 学位の種類: 修士(情報理工学) ; 学位記番号: ; 研究科・専攻: 情報理工学系研究科電子情報学専

Topics: 548
Publisher: 情報理工学系研究科 電子情報学専攻
Year: 2009
OAI identifier: oai:repository.dl.itc.u-tokyo.ac.jp:2261/28053
Provided by: UT Repository
Download PDF:
Sorry, we are unable to provide the full text but you may find it at the following location(s):
  • http://hdl.handle.net/2261/280... (external link)
  • Suggested articles


    To submit an update or takedown request for this paper, please submit an Update/Correction/Removal Request.