第2回WSA研で「Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成」について発表してきました

こちらのエントリは第2回Web System Architecture研究会の予稿です.

著者

  • 野村 孔命, GMOペパボ株式会社 ペパボ研究所
  • 力武 健次, 力武健次技術士事務所
  • 松本 亮介, GMOペパボ株式会社 ペパボ研究所

1. はじめに

Webアプリケーションの脆弱性を利用した攻撃は後を絶たず,Webサービス保有する機密情報を漏洩させるようなセキュリティインシデントが発生している. このような攻撃は,Webアプリケーションが利用するデータベースに対して不正クエリを発行し実行することで行われ,1つの不正クエリの実行が大規模な情報漏洩を引き起こす可能性がある. そのため,不正クエリをデータベースで実行される前に検知し,実行を停止する対策が必要となる. しかし,仕様変更により頻繁にWebアプリケーションの改修が行われるWebサービスにおいて,不正クエリの対策を導入することは機密情報を保護するために重要であるが,対策の導入によって開発やサービスの運営に影響を与えることは本末転倒となるため避けたい. そのため,対策導入時には,開発プロセスやシステム構成への影響を考慮する必要がある. また,Webサービスの実装には,RubyPHPなどの様々なプログラミング言語が用いられることから,Webアプリケーションの実装に依存せず汎用的に利用できる不正クエリへの対策が求められている.

本研究では,開発プロセスやシステム構成への影響を考慮し,Webアプリケーションの実装に依存せずに,データベースに発行される不正クエリを検知する手法の検討を行う.

続きを読む