セカンドオーダーSQLインジェクション攻撃に対する情報理論を用いた検知手法 - 九大コレクション | 九州大学附属図書館

＜会議発表論文＞
セカンドオーダーSQLインジェクション攻撃に対する情報理論を用いた検知手法

作成者	作成者名肖, 玲歓 Xiao, Linghuan 所属機関所属機関名九州大学 Kyushu University
	著者識別子 80624775 作成者名松本, 晋一 Matsumoto, Shinichi マツモト, シンイチ所属機関所属機関名九州先端科学技術研究所 Institute of Systems, Information Technologies and Nanotechnologies (ISIT)
	作成者名川本, 淳平 Kawamoto, Junpei カワモト, ジュンペイ所属機関所属機関名九州大学 Kyushu University
	著者識別子 K000220 作成者名櫻井, 幸一 Kyushu University サクライ, コウイチ所属機関所属機関名九州大学 Kyushu University
本文言語	日本語
出版者	電子情報通信学会情報セキュリティ研究専門委員会(ISEC研)
出版者	IEICE Technical Committee on Information Security (ISEC)
発行日	2016-01-19
収録物名	暗号と情報セキュリティシンポジウム
収録物名	Symposium on Cryptography and Information Security
巻	2016
開始ページ	3B1-2
出版タイプ	Accepted Manuscript
アクセス権	open access
関連DOI	http://www.iwsec.org/scis/2016/index.html
関連URI	http://www.iwsec.org/scis/2016/index.html
関連情報	http://www.iwsec.org/scis/2016/index.html
目次	SQLインジェンクション攻撃はウェブアプリケーションにおける重大なセキュリティリスクの一つである．その中でも，セカンドオーダーインジェクション攻撃の発生数は増加傾向にあるが，対応する検知手法は少ない．セカンドオーダーインジェクション攻撃では，サーバに送信された悪意あるコマンドがすぐには実行されず，データベースに保存される．そして，後ほど他のリクエストにより悪意あるコマンドが実行される．当該攻撃の対策として，静的コード分析が提案されている．しかし，これらは脆弱性の発見が主な目的であり実際の攻撃を検知することは難しい，またデータフローの分析が非効率である．本論文では，情報理論を用いて悪意あるSQLクエリを検出する方法を提案する．悪意あるSQLクエリには脆弱性を利用するためのコードが含まれている点に着目し，提案手法では代表的なSQLクエリテンプレートと実際にデータベースから読み出したデータで構成するSQLクエリのエントロピー値を比較し，攻撃を判定する．本提案手法は，静的分析と動的計算の二段階からなる．静的分析段階ではコードを分析し，データベースから読み出したデータで構成する脆弱性の疑いのあるSQLクエリを抽出する．動的計算ではエントロピー値を計算し攻撃を検知する．セカンドオーダーSQLインジェクションの脆弱性を持つ二つのアプリケーションを用いて本提案手法の評価を行った．

本文ファイル

ファイル	ファイルタイプ	サイズ	閲覧回数	説明
SCIS2016ー肖玲歓	pdf	700 KB	1,629

詳細

レコードID	1661860
査読有無	査読無
主題	ウェブアプリケーションセキュリティー
	情報理論
	セカンドオーダーSQLインジェンクション
	PHP
注記	2016年暗号と情報セキュリティーシンポジウム : 2016年1月19日(火)～1月22日(金) : 熊本 ANAクラウンプラザホテル熊本ニュースカイ : 主催電子情報通信学会情報セキュリティ研究専門委員会(ISEC研)
注記	2016 Symposium on Cryptography and Information Security : SCIS : January 19–22, 2016 : ANA Crowne Plaza Kumamoto New Sky, Kumamoto, Japan : Organized by IEICE Technical Committee on Information Security (ISEC)
登録日	2016.07.21
更新日	2020.11.02