第11回インターネットと運用技術シンポジウム IOTS2018
Webアプリケーションの脆弱性を利用してデータベースから機密情報を窃取する攻撃が問題になっている.対策として,クエリのホワイトリストによる検知があるが,大規模なアプリケーションにおいてはクエリパターンが膨大であり,開発者によるリストの手動作成が困難なため,リストの自動作成手法が利用される.しかし,従来のホワイトリスト自動作成手法には,ユーザがWebサービスを利用することによって,発行されるクエリを収集するのに時間がかかり検知の即時性が低い課題や,アプリケーション毎に異なる実装を必要とし汎用性が低い課題がある.
本研究では,アプリケーションの動作テスト実行時の発行クエリからホワイトリストを作成する手法を提案する.提案手法はテスト時の発行クエリを使いアプリケーションの実装に依存せず作成できるため,検知の即時性や汎用性は向上する.