JP2008084118A - 非即時処理存在可能性の表示処理プログラム,装置,および方法 - Google Patents

非即時処理存在可能性の表示処理プログラム,装置,および方法 Download PDF

Info

Publication number
JP2008084118A
JP2008084118A JP2006264864A JP2006264864A JP2008084118A JP 2008084118 A JP2008084118 A JP 2008084118A JP 2006264864 A JP2006264864 A JP 2006264864A JP 2006264864 A JP2006264864 A JP 2006264864A JP 2008084118 A JP2008084118 A JP 2008084118A
Authority
JP
Japan
Prior art keywords
processing
immediate
web page
display
possibility
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006264864A
Other languages
English (en)
Other versions
JP4908131B2 (ja
Inventor
Yuji Yamaoka
裕司 山岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006264864A priority Critical patent/JP4908131B2/ja
Priority to US11/785,559 priority patent/US20080083032A1/en
Publication of JP2008084118A publication Critical patent/JP2008084118A/ja
Application granted granted Critical
Publication of JP4908131B2 publication Critical patent/JP4908131B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Abstract

【課題】 Webページに組み込まれたユーザが無関知の処理の存在を,ユーザが意識できるようにする。
【解決手段】 Webブラウザ1の非即時処理存在可能性検出部151は,ページ管理部101で管理されたWebページについて,タイマ管理部113,イベントハンドラ管理部109,組込オブジェクト処理・管理部115の各処理部での管理をもとに,タイマ設定,組込オブジェクト,高感度イベントハンドラなどの「非即時処理」の存在を検出した場合に“非即時処理存在可能性=あり”を,または「非即時処理」の存在を検出しない場合に“非即時処理存在可能性=なし”を,それぞれ出力する。非即時処理存在可能性管理・表示部153は,この出力結果をもとに,Webページの表示ウィンドウに,非即時処理存在可能性の“あり”または“なし”を示すアイコンを表示する。
【選択図】 図1

Description

本発明は,WWW(World Wide Web)のドキュメント表示処理を行う装置の表示処理技術に関する。特に,Webブラウザによって複数のWebページが複数の表示ウィンドウにそれぞれ表示されている場合に,ある表示ウィンドウに表示されたWebページによってもたらされる,ユーザの意図とは無関係に任意のタイミングで起こる処理(以下,「非即時処理」という)が生じる可能性を表示する処理装置および方法に関する。
現在,WWWのドキュメント表示処理を行うWebブラウザと呼ばれる装置上では,あるWebページでのユーザの作業や操作の安全性が,表示中の他のWebページによって脅かされる可能性がある。
このような驚異の一つに,例えば,CSRF(Cross Site Request Forgery)という攻撃手法が知られている。CSRFとは,あるWebサイトに被害を与えるために,Webサイト間を跨いだリクエストを偽造し送信する手法である。
このCSRFによれば,攻撃者があるWebサイトに設けておいた攻撃用のWebページに備えた仕掛けによって,付随するクエリやフォームのパラメタの値を自由に指定したリクエストを,いわば外部から真正のWebサイトへ送信するように,Webブラウザに対して指示することができる。
これは,Webブラウザが記憶している情報(例えば,ユーザの識別・認証,セッション管理などに使用される情報)が,ユーザの意図しないリクエスト送信によって自動的に送信されてしまうことを意味する。例えば,ユーザが,クッキー情報(Cookie)を用いてセッション管理および認証を行っているWebサイトを閲覧している場合に,そのWebサイトに任意のパラメタを持たせてリクエストを送信するCSRFによって,そのWebサイトを攻撃し,ユーザに被害を与えることができる。
図10〜図13を用いて,CSRFを具体的に説明する。
ユーザは,インターネットを閲覧中に,あるWebサイトA(some_domain)に辿り着き,Webブラウザで,図10に示すWebページ90が表示されているとする。図10のWebページは,信頼性の高い「発注サイトB」へのリンクが表示されている普通のページのように見えるが,攻撃者によって用意された,CSRFを実行する仕組みが記述されているものである。
Webページ90には,信頼している発注サイトBへのリンクが用意されていたため,図11に示すように,ユーザが,このリンクを利用して発注サイトBのWebページ91を開いたとする。
別のウィンドウに表示された発注サイトBのWebページ91は,URL(trusted_domain)から判断して,確かに信頼できる発注サイトBであるので,ユーザは,ユーザIDとパスワードを入力してログインする。発注サイトBは,セッション管理およびユーザ認証をクッキー(Cookie)を用いて行い,ユーザのログイン後は,セッション管理およびユーザ認証用のCookieがWebブラウザで保持され,このクッキー情報のみによってセッション管理およびユーザ認証が行われるとする。
図12に,ログイン後に表示される発注サイトBの発注作業用のWebページ92を示す。Webページ92には,発注用フォームが用意されている。発注サイトBでは,セッション管理および認証用のクッキーと,用意された発注用フォームによるフォームデータを同時に送信することによって発注が確定するとする。
ユーザによって,Webページ92の各商品の発注数欄に数字が入力される。例えば,商品Aの発注数欄にのみ,数値1が入力された(A=1)とする。発注確定ボタンがクリックされると,Webブラウザは,セッション管理および認証用のクッキーと,ユーザによって入力された数値を設定したフォームデータ(A=1,B=0,C=0)とが付加されたリクエスト(発注処理リクエスト)を発注サイトBへ送信する。これによって,ユーザの意思にもとづく,「商品Aを1個発注」という作業が完了する。
しかし,同時に表示されているWebページ90に用意されたCSRFの機構によって,ユーザが表示したWebページ92がCSRFのターゲットとなる。
すなわち,Webページ90によって,Webページ92で使用されているクッキー,フォームデータが利用されて,発注サイトBへ,Webブラウザが保持するセッション管理および認証用のクッキーと,任意の値(=9)を指定したフォームデータ(A=9,B=9,C=9)とを備えた偽造のHTTPリクエスト(POSTまたはGET)が送信される。
そして,発注サイトBは,受信した発注リクエストにもとづいて,ユーザの発注とみなして処理を完了する。そして,発注確認のレスポンスをWebブラウザへ送信し,図13に示すようなWebページ93が表示される。
Webページ90による偽造の発注リクエストは,ユーザが意図しないものである。しかし,発注サイトBからみれば,送信されたリクエストは内容が完全であるため,ユーザの正規の発注リクエストであると判断し,「商品A,B,C各9個の発注」が確定されることになる。
Webページ90のスクリプトによって,このような発注を偽造したリクエストを何度も送信することができる。また,図13に示すような発注確認のレスポンスをWebページ93に表示させないようにすることも可能である。例えば,HTMLのリンク(Link)タグのhrefを何度も書き換えるなどの動作によって行うことができる。ユーザは,発注が偽造されたことすら気が付かない場合もある。
このような攻撃を行うCSRFへの対策は,通常,Webサーバ側で行われるべきとされている。例えば,前記のような発注処理においては,Cookieだけではなく,フォームデータとして認証用データを要求することが有効であるといわれている。しかし,対策処理に手間がかかるなどの理由により,CSRFへの対策が十分に行われていないWebサーバも数多くありうる。
したがって,クライアント側でも,可能なCSRF対策を行うことが必要である。従来では,このようなCSRFの攻撃自体があまり知られていなかったため,クライアント側の対策は,以下のようなもので行われているにすぎなかった(例えば,非特許文献1参照)。
・対策1: Webブラウザに,ユーザが意図しない動作を起こさせるスクリプトやオブジェクトを無効化する機能を備える。Webブラウザで,JavaScript(登録商標)などのスクリプトやJavaApplet(登録商標)などの組込オブジェクト(以下,「スクリプトなど」という。)を常時無効化したり,該当するスクリプトなどがあれば,それらを有効にするかを問い合わせるダイアログを表示したりする設定が行われ,スクリプトなどが動作しないようにしていた。
・対策2: Webブラウザに,スクリプトなどの有効/無効の設定をドメイン(URL)ごとに自動的に切り替えられるように設定できる機能を備える。
MicrosoftCorp.SupportHome 文書番号J240797, http://support.microsoft.com/kb/240797, 2006年4月14日, Microsoft Corp.
CSRFの攻撃は,ユーザの意図とは無関係に任意のタイミングで起こる「非即時処理」を利用して行われる。そのため,非即時処理を行えるスクリプトなどの有効/無効をユーザが意識的に制御することは重要である。例えば,従来の対策1のように,スクリプトなどを有効(動作可能)にするダイアログの表示は,ユーザの脅威に対する危機意識を高めることができると考えられる。
しかし,対策1では,信頼しているサイトのWebページ上でも,いちいちスクリプトなどを有効にする許可がダイアログで求められることは,Webブラウザのユーザに煩わしさを感じさせるという問題があった。
また,Webサイトでの操作や作業の利便性と,CSRF攻撃に対する堅牢性とはトレードオフの関係にある。多くのユーザは,CSRF攻撃の危険性の程度が判断できないWebページでは,とりあえずスクリプトなどが有効となるような設定での使用を望んでいると考えられる。
ユーザは,一旦,スクリプトなどを有効にする許可を設定したWebページでは,CSRF攻撃の危険性を常に意識していなければならない。また,他の表示ウィンドウに対しても,スクリプトなどを有効にする許可を設定したことを記憶し続けて,操作や作業を進めなければならず,やはり煩わしさを感じさせることになる。
また,対策2では,信頼性が高いとユーザが判断したWebサイトが増えるたびに,明示的にそのWebサイトを追加して設定する必要があり,これらの設定操作に手間がかかるという問題があった。例えば,信頼しているサイトのURLをリストなどに明示的に設定しなければならないなど,ユーザに操作の手間を強いるものであった。
このような使用状況のもとでは,Webブラウザで複数のWebページが表示されている場合に,ユーザは,現在操作・作業中のWebページだけでなく,他のWebページも含めてすべてのWebページについて,CSRF攻撃を可能にする機能が存在するか,また,そのような機能の動作を許可するかなどを常に意識しておく必要がある。しかし,ユーザの記憶や意識に頼っておくことは実際には難しく,また,Webページの危険性の高低に応じてスクリプトなどの許可の設定を頻繁に変えることを期待することも難しい。したがって,Webページに,CSRF攻撃が可能となるような非即時処理が存在するかどうかを,ユーザに常に意識させておく仕組みが必要である。
本発明の目的は,表示ウィンドウで表示されているWebページに,ユーザが関知しない内容,例えば,偽造リクエスト送信などを引き起こす「非即時処理」が存在するかどうかを監視し,その可能性を検出した場合に,表示ウィンドウに「非即時処理存在可能性」を表示して,CSRFの危険性をユーザがより容易に意識できるようにするWebブラウザの機能を提供することである。
本発明は,WWWのドキュメント表示処理を行う装置(Webブラウザ)に組み込まれ,前記表示ウィンドウに表示されたWebページによって引き起こされる,ユーザの意図と無関係に任意の時機に所定の処理を行う「非即時処理」が存在する可能性(非即時処理存在可能性)を検出した場合に,ユーザが操作中のWebページ上に検出結果を表示することを特徴とする。
本発明は,WWWのドキュメント表示処理を行う装置に,1)取得したWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出処理と,2)前記Webページから前記要素を検出した場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理とを,実行させるためのプログラムである。
また,本発明は,前記検出処理では,表示されているWebページが複数ある場合に,Webページごとに前記要素を検出し,前記表示処理では,前記複数のWebページのうち,前記ユーザが操作対象としているWebページおよび他のWebページのそれぞれについて,非即時処理存在可能性を前記表示ウィンドウに表示することができる。
または,前記検出処理では,表示されているWebページが複数ある場合に,Webページごとに,前記要素を検出し,前記表示処理では,前記複数のWebページそれぞれの非即時処理存在可能性を前記表示ウィンドウに表示することができる。
さらに,本発明は,前記装置に,前記検出処理において検出される,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を,ユーザの入力情報にもとづいて設定する検出対象非即時処理対象設定処理を実行させてもよい。
本発明は,以下のように動作する。
本発明を実行する装置は,検出処理によって,WWWのドキュメント表示処理を行う装置において表示されているWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素,例えば,タイマ,組込オブジェクト,高感度イベントハンドラなどの要素を検出する。そして,表示処理によって,Webページからこのような要素を検出した場合に,そのWebページが表示されている表示ウィンドウに,非即時処理存在可能性を示すマークを表示する。
また,WebブラウザにWebページが複数のウィンドウで表示されている場合に,前記検出処理によって,Webページごとに非即時処理が可能な要素を検出し,前記表示処理によって,前記複数のWebページのうち,前記ユーザが操作対象としているWebページおよび他のWebページのそれぞれについての非即時処理存在可能性を,表示ウィンドウに表示する。または,複数のWebページそれぞれの非即時処理存在可能性を表示する。
また,本発明は,前記の処理を行う処理装置である。また,WWWのドキュメント表示処理を行う装置が前記の処理を実現する処理方法である。
また,本発明は,WWWのドキュメント表示処理を行う装置であるコンピュータにより読み取られ実行されるプログラムであり,コンピュータが読み取り可能な可搬媒体メモリ,半導体メモリ,ハードディスクなどの適当な記録媒体に格納することができ,これらの記録媒体に記録して提供され,または,通信インタフェースを介して種々の通信網を利用した送受信により提供される。
本発明は,WWWで提供されるWebページによって引き起こされるCSRF攻撃の可能性をユーザに認知させるために,表示されたWebページに,CSRFとして機能しうる非即時処理が存在するかどうかを監視する。非即時処理の存在の可能性として,表示されたWebページ中に例えば,タイマ,組込オブジェクト,高感度イベントハンドラなどの所定の要素が存在するかどうかを検出し,その存在を検出した場合に,「非即時処理存在可能性」がある旨を,Webページの表示ウィンドウに表示することができる。
本発明によれば,Webページ中に潜在する,不正な意図の「非即時処理」の危険性をユーザに提示することができるため,ダイアログを表示してユーザに設定させたり,特定サイトのURLを設定させたりすることなしに,CSRFの攻撃の可能性に対する危機意識をユーザに保持させることができる。
また,本発明によれば,ユーザが操作を行っているWebページと,その他のWebページとの「非即時処理存在可能性」を,別々に表示できるため,操作や作業中のWebページが信頼できるサイトのWebページであっても,表示されている他のWebページからCSRF攻撃が行われる可能性をユーザに認識させることができ,不要なWebページを閉じるなどの防御策をとらせることが期待できる。
以下,本発明を実施するための最良の形態を説明する。
WWWから取得されたHTMLドキュメントにもとづいて表示されるWebページにおいて,「非即時処理」に該当する処理を実現する機構はいくつかある。本実施形態では,既存の主要なWebブラウザにおいて非即時処理を実現可能とする機能として,次の3つに分類されるものを検索対象とする。
(1)タイマ
タイマは,一定時間後にWebブラウザに何らかの処理を行わせるような指定である。例えば,HTMLのmetaタグのhttp−equiv属性に“refresh”を指定することによって,指定された時間の経過後に,Webブラウザに指定URLをリクエストさせることができる。例えば,“JavaScriptでwindow.setTimeout(script,msec)”であるAPI(Application Program Interface)を使用することによって,指定の時間(msec)後に,Webブラウザに指定の処理(script)の実行を開始させることができる。
(2)組込オブジェクト
組込オブジェクトは,HTMLのオブジェクト(object)タグなどによって指定される,任意のプログラムやデータである。例えば,HTMLのappletタグで“JavaApplet”を指定することによって,Javaプログラムによって任意のタイミングに任意のURLをリクエストさせることができる。
(3)高感度イベントハンドラ
高感度イベントハンドラは,JavaScriptなどのスクリプトのイベントハンドラのうち,ユーザの意図とは無関係に起こるイベントに対応するハンドラである。例えば,HTMLの本体(body)タグに“onMouseOverイベントハンドラ(属性)”を指定することによって,その表示中のウィンドウ内をマウスポインタが通過するだけで,そのときに任意のスクリプトを実行させることができる。
図1に,本発明の一実施形態における構成例を示す。
ドキュメント表示処理装置(Webブラウザ)1は,HTTPプロトコルの通信を処理し,取得したWebページを表示し,Webページに所定の非即時処理が存在する可能性を,Webページの表示ウィンドウに表示する処理装置である。
Webブラウザ1は,制御部10,ページ管理部101,DOM管理・表示・イベント捕捉部103,通信部105,構文解析・DOM生成部107,イベントハンドラ管理部109,スクリプト処理部111,タイマ管理部113,組込オブジェクト処理・管理部115,非即時処理存在可能性検出部151,非即時処理存在可能性管理・表示部153,および対象組込オブジェクト設定部155を備える。
非即時処理存在可能性管理・表示部153は,DOM管理・表示・イベント捕捉部103の内部構成手段として設けられる。
本発明の特徴は,おもに,非即時処理存在可能性検出部151および非即時処理存在可能性管理・表示部153によって実現される。
制御部10は,以下の各処理部の制御を行う処理手段である。
ページ管理部101は,Webブラウザ1の各表示ウィンドウで表示中のWebページを管理する処理手段である。ページ管理部101は,表示ウィンドウに表示されているWebページを,ページ識別情報(ページID)によって管理する。
DOM管理・表示・イベント捕捉部103は,ページ管理部101で管理されているWebページのDOM(Document Object Model)を管理し,Webページの現在のDOMを表示ウィンドウ上に表示し,表示ウィンドウで起こるイベントを捕捉する処理手段である。
通信部105は,サーバとのHTTPによる通信を行う処理手段である。
構文解析・DOM生成部107は,通信部105によって取得したHTMLドキュメントを構文解析し,DOMを生成する処理手段である。
イベントハンドラ管理部109は,ページ管理部101のページ識別情報(ページID)を用いて,各Webページにどのようなイベントハンドラが存在するかを管理する処理手段である。
スクリプト処理部111は,HTMLドキュメントに内包または指定されている,JavaScriptなどのスクリプトを解釈・評価する処理手段である。
タイマ管理部113は,HTMLドキュメントやスクリプトなどで指示されたタイマ指定を管理する処理手段である。各タイマで指定された時間となったときに,予め指定されている通信や処理が,通信部105やスクリプト処理部111などによって実行される。
組込オブジェクト処理・管理部115は,HTMLドキュメントで指定された組込オブジェクトを管理し,該当する処理系(図示しない)にその組込オブジェクトの処理を実行させる処理手段である。
非即時処理存在可能性検出部151は,タイマ管理部113,組込オブジェクト処理・管理部115,イベントハンドラ管理部109などの処理を監視し,各処理部の処理動作をもとに,Webページにタイマ,組込オブジェクト,高感度イベントハンドラなどの非即時処理が存在する可能性(非即時処理存在可能性)を検出する処理手段である。
非即時処理存在可能性検出部151は,イベントハンドラ管理部109によって管理されるイベントハンドラの中に以下の高感度イベントハンドラが存在する場合に,非即時処理存在可能性を検出する。
(1)マウス操作によって起こるイベントのハンドラ。例えば,onClick(クリックされた時),onDblClick(ダブルクリックされた時),onMouseDown(マウスボタンが押された時),onMouseUp(マウスボタンが離された時),onMouseOver(マウスカーソルがそのオブジェクトの上に位置した時),onMouseOut(マウスカーソルがそのオブジェクトの上から離れた時),onMouseMove(マウスカーソルが移動した時)などである。
(2)キーボード操作によって起こるイベントのハンドラ。例えば,onKeyDown(キーが押された時),onKeyPress(キーがしばらくの間押されたままの時),onKeyUp(押されているキーが離された時)などである。
(3)Webページが消去されるときのイベントのハンドラ。例えば,onUnload(ページが閉じられる時)などである。
(4)フォーカスに関するイベントのハンドラ。例えば,onFocus(その部品がフォーカスを得た(選択された状態になった)時),onBlur(その部品がフォーカスを失った時)などである。
(5)表示ウィンドウの位置やサイズを変更するイベントのハンドラ。例えば,onResize(表示ウィンドウのサイズが変更された時),onMove(表示ウィンドウが移動された時)などである。
(6)表示ウィンドウ中での選択に関するイベントのハンドラ。例えば,onSelect(例えばテキストが選択された時)などである。
これらのイベントハンドラは,ユーザのマウス操作,キー操作,例えば,ユーザが操作対象としている表示ウィンドウ(アクティブ表示ウィンドウ)を切り替えたり,位置や大きさを変更したりするときに起こり得る。
また,非即時処理存在可能性検出部151は,組込オブジェクト処理・管理部115によって管理される組込オブジェクトの中に所定の組込オブジェクトが存在する場合に,非即時処理存在可能性を検出する。検出対象となる組込オブジェクトは,所定のデータのみを指定しているようなものや,対象組込オブジェクト設定部155によってユーザが明示的に対象外として指定したもの以外のオブジェクトである。例えば,objectタグにclassid属性がないような組込オブジェクトなどは,データのみを指定しているものであるので,指定されたデータ種類によっては非即時処理の可能性がなく,検出対象とする必要がないからである。
非即時処理存在可能性管理・表示部153は,非即時処理存在可能性を,各表示ウィンドウ上に表示する処理手段である。
対象組込オブジェクト設定部155は,非即時処理存在可能性検出部151によって,非即時処理存在可能性の検出対象となる組込オブジェクトを,ユーザによる入力情報にもとづいて設定する処理手段である。
図2は,非即時処理存在可能性の検出対象外の組込オブジェクトをユーザに指定させる画面20の例である。画面20の入力域21において,ユーザが,MIME型の組込オブジェクトのデータ種別の指定が入力され,OKボタン23がクリックされると,入力されたデータ種別を指定する組込オブジェクトは,非即時処理存在可能性の検出対象外に設定される。この検出対象外に設定されたデータ種別は,非即時処理存在可能性検出部151に通知される。
非即時処理存在可能性検出部151は,組込オブジェクト処理・管理部115で管理されている組込オブジェクトが,通知されたデータ種のMIME型を指定するものに該当する場合には,非即時処理の可能性がないものとする。
次に,本発明の処理の流れを説明する。
図3は,Webブラウザ1におけるWebページの通信から表示までの処理のフローチャートである。
Webブラウザ1のページ管理部101が,ページIDで指定されたWebページの通信リクエストを受け付けると(ステップS1),制御部10は,状態ID=通信開始と設定し,“ページID”と“状態ID=通信開始”を非即時処理存在可能性検出部151に出力する(ステップS2)。
非即時処理存在可能性検出部151は,“ページID”と“状態ID”を受け付けて非即時処理存在可能性検出処理(ステップS10)を行う。処理内容は,後述する。
通信部105は,依頼先のサーバと通信を行う(ステップS3)。
制御部10は,通信後,状態ID=構文解析開始と設定し,“ページID”と“状態ID=構文解析開始”を非即時処理存在可能性検出部151に出力する(ステップS4)。
構文解析・DOM生成部107は,HTMLドキュメントからDOMを生成し(ステップS5),DOMを解析し,タイマ管理部113,イベントハンドラ管理部109,組込オブジェクト処理・管理部115に,それぞれのデータを設定する(ステップS6)。
構文解析・DOM生成部107は,タイマ管理部113へのデータ設定として,例えば,DOMから,metaタグのhttp−equiv属性に“refresh”が指定されているものを検索し,該当するものがあれば,そのcontent属性値を指定時間後に指定URLへリクエストするタイマとして設定する。なお,タイマ管理部113へのデータ設定は,スクリプト処理部111での所定のAPI(例えば,window.setTimeout(…),window.setInterval(…)など)の呼び出しにおいても行われる。
また,構文解析・DOM生成部107は,イベントハンドラ管理部109へのデータ設定として,DOMから,イベントハンドラ属性を持つ要素を検索し,その内容を設定する。また,組込オブジェクト処理・管理部115へのデータ設定として,object,applet,embedの各タグで指定された組込オブジェクトを取得し,取得したオブジェクトを設定する。
制御部10は,状態ID=表示変更完了と設定し,“ページID”と“状態ID=表示変更完了”を非即時処理存在可能性検出部151に出力する(ステップS7)。
DOM管理・表示・イベント捕捉部103は,DOMをもとに表示ウィンドウにWebページを表示し,イベント捕捉を開始する(ステップS8)。
その後,イベントハンドラ管理部109で管理されたイベントハンドラによって,実行されるスクリプトがある場合に,スクリプト処理部111での当該スクリプトの処理前に,制御部10は,状態ID=スクリプト処理開始と設定し,“ページID”と“状態ID=スクリプト処理開始”を非即時処理存在可能性検出部151に出力する(ステップS9)。
ステップS2,S4,S7,またはS9の処理によって,“ページID”および“状態ID”が出力された場合に,非即時処理存在可能性検出部151は,非即時処理存在可能性検出処理を行う(ステップS10)。なお,ステップS2,S4,S7,またはS9の処理は,図3に示す順序に限られず,“ページID”および“状態ID”は,該当する処理に応じて出力される。
そして,非即時処理存在可能性管理・表示部153は,非即時処理存在可能性検出部151の出力を受けて,非即時処理存在可能性表示処理を行う(ステップS11)。
図4に,ステップS10の非即時処理存在可能性検出処理のフローチャートを示す。
非即時処理存在可能性検出部151は,ページIDを受け付け(ステップS20),状態IDの設定を判定する(ステップS21〜S24)。
状態IDが“通信開始”であれば(ステップS21のYES),ページIDに該当するWebページは,“非即時処理存在可能性=あり”と出力する(ステップS25)。また,状態IDが“構文解析開始”であれば(ステップS22のYES),ページIDに該当するWebページは,“非即時処理存在可能性=あり”と出力する(ステップS25)。また,状態IDが“スクリプト処理開始”であれば(ステップS23のYES),ページIDに該当するWebページは,“非即時処理存在可能性=あり”と出力する(ステップS25)。
また,状態IDが“通信開始”,“構文解析開始”または“スクリプト処理開始”のいずれの設定でもなければ(ステップS21,S22,S23のNO),“状態ID=表示変更完了”であるので(ステップS24),ステップS26の処理へ進む。
その後,ページIDに該当するWebページにタイマ指定があるかを判定し(ステップS26),タイマ指定が存在する場合に(ステップS26のYES),ページIDに該当するWebページは,“非即時処理存在可能性=あり”と出力する(ステップS25)。
また,タイマ指定が存在しない場合には(ステップS26のNO),ページIDに該当するWebページに所定の組込オブジェクトがあるかを判定する(ステップS27)。組込オブジェクトが存在する場合に(ステップS27のYES),ページIDに該当するWebページは,“非即時処理存在可能性=あり”と出力する(ステップS25)。なお,組込オブジェクトの存在判定処理は,後述する。
また,ページIDに該当するWebページに所定の高感度イベントハンドラがあるかを判定する(ステップS28)。高感度イベントハンドラが存在する場合に(ステップS28のYES),ページIDに該当するWebページは,“非即時処理存在可能性=あり”と出力する(ステップS25)。
また,ページIDに該当するWebページに,タイマ指定,組込オブジェクト,または高感度イベントハンドラのいずれもが存在しなければ(ステップS26,S27,S28のNO),ページIDに該当するWebページは,“非即時処理存在可能性=なし”と出力する(ステップS29)。
図5に,ステップS27の組込オブジェクトの存在判定処理のフローチャートを示す。
非即時処理存在可能性検出部151は,ページIDを受け付け(ステップS30),ページIDに該当するWebページ中の組込オブジェクトごとに,ステップS32以降の処理を繰り返す(ステップS31)。
まず,組込オブジェクトのタグが“applet”であるかを判定し(ステップS32),組込オブジェクトのタグが“applet”であれば(ステップS32のYES),ページIDに該当するWebページに“組込オブジェクト=あり”と出力する(ステップS33)。
組込オブジェクトのタグが“applet”でなければ(ステップS32のNO),組込オブジェクトのタグが“object”であるかを判定し(ステップS34),組込オブジェクトのタグが“object”であれば(ステップS34のYES),さらに,タグの属性に“classid”があるかを判定する(ステップS35)。タグの属性に“classid”があれば(ステップS35のYES),ページIDに該当するWebページに“組込オブジェクト=あり”と出力する(ステップS33)。
また,タグの属性に“classid”がなければ(ステップS35のNO),さらに,タグの属性に“data”があるかを判定する(ステップS36)。タグの属性に“data”がなければ(ステップS36のNO),ページIDに該当するWebページに“組込オブジェクト=あり”と出力する(ステップS33)。一方,タグの属性に“data”があれば(ステップS36のYES),さらに,取得されるデータのMIME型が,対象組込オブジェクト設定部155によって指定されたMIME型群のいずれかにマッチするかを判定する(ステップS37)。
取得されるデータのMIME型が,対象組込オブジェクト設定部155によって指定されたMIME型群のいずれにもマッチしなければ(ステップS37のNO),ページIDに該当するWebページに“組込オブジェクト=あり”と出力する(ステップS33)。一方,取得されるデータのMIME型が,指定されたMIME型群のいずれかにマッチすれば(ステップS37のYES),ページIDに該当するWebページに“組込オブジェクト=なし”と出力する(ステップS38)。
図6に,非即時処理存在可能性表示処理のフローチャートを示す。
非即時処理存在可能性管理・表示部153は,“ページID”と“非即時処理存在可能性(可能性)”とを受け付け(ステップS40),“非即時処理存在可能性”の設定を判定する(ステップS41)。
“非即時処理存在可能性=あり”であれば(ステップS41),ページIDに該当するWebページの表示ウィンドウの「このページ(当該ページ)」の欄に「非即時処理存在可能性あり(可能性あり)」を表示する(ステップS42)。“非即時処理存在可能性=なし”であれば(ステップS41),ページIDに該当するWebページの表示ウィンドウの「このページ(当該ページ)」の欄に「非即時処理存在可能性なし(可能性なし)」」を表示する(ステップS43)。
さらに,他のWebページの非即時処理存在可能性表示処理を繰り返す(ステップS44)。
図7に,ステップS44の他のWebページの非即時処理存在可能性表示処理のフローチャートを示す。
非即時処理存在可能性管理・表示部153は,ページ管理部101で管理されている残りのページIDのWebページについて,ステップS51,S52の処理を行う(ステップS50)。管理されているWebページの次のページIDを受け付け(ステップS51),受け付けたページIDに該当するWebページの“非即時処理存在可能性”を判定する(ステップS52)。
ページ管理部101で管理されている残りのページIDについて処理が終わり(ステップS53),残りのWebページに“非即時処理存在可能性=あり”のものがあれば(ステップS54のYES),ステップS40で受け付けたページIDの表示ウィンドウの「他のページ」の欄に「可能性あり」を表示する(ステップS55)。一方,残りのWebページに“非即時処理存在可能性=あり”のものがなければ(ステップS54のNO),ステップS40で受け付けたページIDの表示ウィンドウの「他のページ」の欄に「可能性なし」を表示する(ステップS56)。
なお,非即時処理存在可能性管理・表示部153は,他のWebページごとに「可能性あり/なし」を表示するようにしてもよい。
図8および図9を用いて,非即時処理存在可能性の表示の例を示す。
ここで,Webブラウザ1は,3つの異なるWebページを表示ウィンドウ30a,30b,30cで表示しているとする。図8(A)の表示ウィンドウ30aのページは,CSRFを意図する攻撃者が用意したWebページであり,CSRFの処理を行うための何らかの仕組みが組み込まれているとする。図8(B)の表示ウィンドウ30bのページ,図8(C)の表示ウィンドウ30cのページは,信頼性の高いものであるとする。
非即時処理存在可能性検出部151は,ページ管理部101で管理されている3つのWebページ30a,30b,30cについて,非即時処理存在可能性を検出する。そして,表示ウィンドウ30aのWebページには,CSRFを行う仕組みがあることから,非即時処理が実行可能な要素を検出し,“可能性=あり”を出力する。
一方,表示ウィンドウ30b,30cのWebページから非即時処理が実行可能な要素を検出しないとする。表示ウィンドウ30b,30cのWebページについて“非即時処理存在可能性=なし”を出力する。
非即時処理存在可能性管理・表示部153は,非即時処理存在可能性検出部151の出力結果を受けて,図8(A)に示すように,表示ウィンドウ30aの「このページ」に“非即時処理存在可能性=あり”を示すアイコン(図中,黒い丸(●)で示す)を表示し,「他のページ」に“非即時処理存在可能性=なし”を示すアイコン(図中,白い矩形(□)で示す)を表示する。
また,非即時処理存在可能性管理・表示部153は,図8(B)に示すように,表示ウィンドウ30bのWebページは“非即時処理存在可能性=なし”であるので,表示ウィンドウ30bの「このページ」に“非即時処理存在可能性=なし”を示すアイコン(□)を表示する。また,表示ウィンドウ30aのWebページは“非即時処理存在可能性=あり”であるので,「他のページ」に“非即時処理存在可能性=あり”を示すアイコン(●)を表示する。
同様に,図8(C)に示すように,表示ウィンドウ30cのWebページは“非即時処理存在可能性=なし”であるので,表示ウィンドウ30cの「このページ」に“非即時処理存在可能性=なし”を示すアイコン(□)を,「他のページ」に“非即時処理存在可能性=あり”を示すアイコン(●)を表示する。
ユーザは,アクティブ表示ウィンドウに表示されるこれらのアイコンによって,現在操作を行っているWebページ,または他の表示ウィンドウで表示されているWebページにCSRFの危険性があるかどうかを認識することができる。
図8に示す状況では,表示ウィンドウ30bのWebページが安全であっても,CSRFの攻撃に対する耐性が要求される作業を控えるべきである。ユーザは,非即時処理存在可能性の表示によって,他の表示ウィンドウのWebページにCSRFの危険性があることを認識できるため,表示ウィンドウ30bでログインなどの操作を行う前に,非即時処理存在可能性がある表示ウィンドウ30aを閉じるなど,CSRFに対処することができる。
その後,ユーザが,CSRFの危険性に気づいて,表示ウィンドウ30aを閉じたとする。この時点で,表示ウィンドウ30b,30cのWebページから非即時処理が実行可能な要素が検出されないので,非即時処理存在可能性検出部151によって“非即時処理存在可能性=なし”が出力される。
非即時処理存在可能性管理・表示部153は,図9(A)に示すように,表示ウィンドウ30bのWebページは“非即時処理存在可能性=なし”であるので,表示ウィンドウ30bの「このページ」に“非即時処理存在可能性=なし”を示すアイコン(□)を表示する。また,表示ウィンドウ30cのWebページも“非即時処理存在可能性=なし”であるので,「他のページ」に“非即時処理存在可能性=なし”を示すアイコン(□)を表示する。
同様に,図9(B)に示すように,表示ウィンドウ30cのWebページは“非即時処理存在可能性=なし”であるので,表示ウィンドウ30cの「このページ」に“非即時処理存在可能性=なし”を示すアイコン(□)を,「他のページ」にも“非即時処理存在可能性=なし”を示すアイコン(□)を,それぞれ表示する。
ユーザは,図9に示す表示ウィンドウのアイコンの変化を見て,現在表示されているすべてのWebページでCSRFの危険性がないことを知ることができる。
このように,本発明によれば,WebブラウザにWebページがonloadされた後に,ユーザの意図と無関係な処理を行える非即時処理が存在する可能性を,ユーザに常に意識させることができ,ユーザが受ける被害を未然に防止することが期待できる。
以上,本発明をその実施の形態により説明したが,本発明はその主旨の範囲において種々の変形が可能であることは当然である。
本発明の形態および実施例の特徴を列記すると以下のとおりである。
(付記1) WWWのドキュメント表示処理を行う装置に,
取得したWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出処理と,
前記検出処理において前記Webページから前記要素が検出された場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理とを,
実行させるための非即時処理存在可能性の表示処理プログラム。
(付記2) 前記装置に,
前記検出処理では,表示されているWebページが複数ある場合に,Webページごとに前記要素を検出し,
前記表示処理では,前記複数のWebページのうち,前記ユーザが操作対象としているWebページおよび他のWebページのそれぞれについて,非即時処理存在可能性を前記表示ウィンドウに表示する処理を
実行させるための前記付記1に記載の非即時処理存在可能性の表示処理プログラム。
(付記3) 前記装置に,
前記検出処理では,表示されているWebページが複数ある場合に,Webページごとに,前記要素を検出し,
前記表示処理では,前記複数のWebページそれぞれの非即時処理存在可能性を前記表示ウィンドウに表示する処理を
実行させるための前記付記1に記載の非即時処理存在可能性の表示処理プログラム。
(付記4) 前記装置に,
前記検出処理では,前記Webページから,前記要素として,タイマ設定に関する要素を検出する処理を
実行させるための前記付記1ないし前記付記3のいずれか一項に記載の非即時処理存在可能性の表示処理プログラム。
(付記5) 前記装置に,
前記検出処理では,前記Webページから,前記要素として,所定の組込オブジェクトを検出する処理を
実行させるための前記付記1ないし前記付記3のいずれか一項に記載の非即時処理存在可能性の表示処理プログラム。
(付記6) 前記装置に,
前記検出処理では,前記Webページから,前記要素として,所定のイベントハンドラに関する要素を検出する処理を
実行させるための前記付記1ないし前記付記3のいずれか一項に記載の非即時処理存在可能性の表示処理プログラム。
(付記7) 前記装置に,
さらに,前記検出処理において検出される,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を,ユーザの入力情報にもとづいて設定する検出対象非即時処理対象設定処理を
実行させるための前記付記1ないし前記付記6のいずれか一項に記載の非即時処理存在可能性の表示処理プログラム。
(付記8) WWWのドキュメント表示処理を行う装置において表示されているWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出手段と,
前記Webページから前記要素を検出した場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理手段とを備える
ことを特徴とする非即時処理存在可能性の表示処理装置。
(付記9) 前記検出手段は,表示されているWebページが複数ある場合に,Webページごとに前記要素を検出し,
前記表示処理手段は,前記複数のWebページのうち,前記ユーザが操作対象としているWebページおよび他のWebページのそれぞれについて,非即時処理存在可能性を前記表示ウィンドウに表示する
ことを特徴とする前記付記8に記載の非即時処理存在可能性の表示処理装置。
(付記10) 前記検出手段は,表示されているWebページが複数ある場合に,Webページごとに,前記要素を検出し,
前記表示処理手段は,前記複数のWebページそれぞれの非即時処理存在可能性を前記表示ウィンドウに表示する
ことを特徴とする前記付記8に記載の非即時処理存在可能性の表示処理装置。
(付記11) 前記検出手段は,前記Webページから,前記要素として,タイマ設定に関する要素を検出する
ことを特徴とする前記付記8ないし前記付記10のいずれか一項に記載の非即時処理存在可能性の表示処理装置。
(付記12) 前記検出手段は,前記Webページから,前記要素として,所定の組込オブジェクトを検出する
ことを特徴とする前記付記8ないし前記付記10のいずれか一項に記載の非即時処理存在可能性の表示処理装置。
(付記13) 前記検出手段は,前記Webページから,前記要素として,所定のイベントハンドラに関する要素を検出する
ことを特徴とする前記付記8ないし前記付記10のいずれか一項に記載の非即時処理存在可能性の表示処理装置。
(付記14) さらに,前記検出手段によって検出される,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を,ユーザの入力情報にもとづいて設定する検出対象非即時処理対象設定部を備える
ことを特徴とする前記付記8ないし前記付記13のいずれか一項に記載の非即時処理存在可能性の表示処理装置。
(付記15) WWWのドキュメント表示処理を行う装置が行う処理方法であって,
前記表示処理装置に表示されているWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出処理過程と,
前記検出処理過程において前記Webページから前記要素が検出された場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理過程とを備える
ことを特徴とする非即時処理存在可能性の表示処理方法。
(付記16) 前記検出処理過程では,表示されているWebページが複数ある場合に,Webページごとに前記要素を検出し,
前記表示処理過程では,前記複数のWebページのうち,前記ユーザが操作対象としているWebページおよび他のWebページのそれぞれについて,非即時処理存在可能性を前記表示ウィンドウに表示する
ことを特徴とする前記付記15に記載の非即時処理存在可能性の表示処理方法。
(付記17) 前記検出処理過程では,表示されているWebページが複数ある場合に,Webページごとに,前記要素を検出し,
前記表示処理過程では,前記複数のWebページそれぞれの非即時処理存在可能性を前記表示ウィンドウに表示する
ことを特徴とする前記付記15に記載の非即時処理存在可能性の表示処理方法。
(付記18) 前記検出処理過程では,前記Webページから,前記要素として,タイマ設定に関する要素を検出する
ことを特徴とする前記付記15ないし前記付記17のいずれか一項に記載の非即時処理存在可能性の表示処理方法。
(付記19) 前記検出処理過程では,前記Webページから,前記要素として,所定の組込オブジェクトを検出する
ことを特徴とする前記付記15ないし前記付記17のいずれか一項に記載の非即時処理存在可能性の表示処理方法。
(付記20) 前記検出処理過程では,前記Webページから,前記要素として,所定のイベントハンドラに関する要素を検出する
ことを特徴とする前記付記15ないし前記付記17のいずれか一項に記載の非即時処理存在可能性の表示処理方法。
(付記21) さらに,前記検出処理過程において検出される,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を,ユーザの入力情報にもとづいて設定する検出対象非即時処理対象設定処理過程を備える
ことを特徴とする前記付記15ないし前記付記20のいずれか一項に記載の非即時処理存在可能性の表示処理方法。
本発明の一実施形態における構成例を示す図である。 非即時処理存在可能性の検出対象外の組込オブジェクトをユーザに指定させる指定画面の例を示す図である。 Webページの通信から表示までの処理のフローチャートである。 非即時処理存在可能性検出処理のフローチャートである。 組込オブジェクトの存在判定処理のフローチャートを示す図である。 非即時処理存在可能性表示処理のフローチャートを示す図である。 非即時処理存在可能性表示処理のフローチャートを示す図である。 非即時処理存在可能性の表示の例を示す図である。 非即時処理存在可能性の表示の例を示す図である。 CSRFを説明するための図である。 CSRFを説明するための図である。 CSRFを説明するための図である。 CSRFを説明するための図である。
符号の説明
1 ドキュメント表示処理装置(Webブラウザ)
10 制御部
101 ページ管理部
103 DOM管理・表示・イベント捕捉部
105 通信部
107 構文解析・DOM生成部
109 イベントハンドラ管理部
111 スクリプト処理部
113 タイマ管理部
115 組込オブジェクト処理・管理部
151 非即時処理存在可能性検出部
153 非即時処理存在可能性管理・表示部
155 対象組込オブジェクト設定部

Claims (5)

  1. WWWのドキュメント表示処理を行う装置に,
    取得したWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出処理と,
    前記検出処理において前記Webページから前記要素が検出された場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理とを,
    実行させるための非即時処理存在可能性の表示処理プログラム。
  2. 前記装置に,
    前記検出処理では,表示されているWebページが複数ある場合に,Webページごとに前記要素を検出し,
    前記表示処理では,前記複数のWebページのうち,前記ユーザが操作対象としているWebページおよび他のWebページのそれぞれについて,非即時処理存在可能性を前記表示ウィンドウに表示する処理を
    実行させるための請求項1に記載の非即時処理存在可能性の表示処理プログラム。
  3. 前記装置に,
    前記検出処理では,表示されているWebページが複数ある場合に,Webページごとに,前記要素を検出し,
    前記表示処理では,前記複数のWebページそれぞれの非即時処理存在可能性を前記表示ウィンドウに表示する処理を
    実行させるための請求項1に記載の非即時処理存在可能性の表示処理プログラム。
  4. WWWのドキュメント表示処理を行う装置において表示されているWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出手段と,
    前記Webページから前記要素を検出した場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理手段とを備える
    ことを特徴とする非即時処理存在可能性の表示処理装置。
  5. WWWのドキュメント表示処理を行う装置が行う処理方法であって,
    前記表示処理装置に表示されているWebページから,ユーザが意図しない内容の処理を任意の時機に実行する非即時処理が可能な所定の要素を検出する検出処理過程と,
    前記検出処理過程において前記Webページから前記要素が検出された場合に,当該Webページが表示されている表示ウィンドウに,非即時処理存在可能性を表示する表示処理過程とを備える
    ことを特徴とする非即時処理存在可能性の表示処理方法。
JP2006264864A 2006-09-28 2006-09-28 非即時処理存在可能性の表示処理プログラム,装置,および方法 Expired - Fee Related JP4908131B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006264864A JP4908131B2 (ja) 2006-09-28 2006-09-28 非即時処理存在可能性の表示処理プログラム,装置,および方法
US11/785,559 US20080083032A1 (en) 2006-09-28 2007-04-18 Non-immediate process existence possibility display processing apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006264864A JP4908131B2 (ja) 2006-09-28 2006-09-28 非即時処理存在可能性の表示処理プログラム,装置,および方法

Publications (2)

Publication Number Publication Date
JP2008084118A true JP2008084118A (ja) 2008-04-10
JP4908131B2 JP4908131B2 (ja) 2012-04-04

Family

ID=39262538

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006264864A Expired - Fee Related JP4908131B2 (ja) 2006-09-28 2006-09-28 非即時処理存在可能性の表示処理プログラム,装置,および方法

Country Status (2)

Country Link
US (1) US20080083032A1 (ja)
JP (1) JP4908131B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010182293A (ja) * 2008-12-18 2010-08-19 Symantec Corp マン・イン・ザ・ブラウザ攻撃を検出するための方法およびシステム
JP2012208743A (ja) * 2011-03-30 2012-10-25 Kyocera Communication Systems Co Ltd ページ変化判定装置

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8181246B2 (en) 2007-06-20 2012-05-15 Imperva, Inc. System and method for preventing web frauds committed using client-scripting attacks
US8020193B2 (en) * 2008-10-20 2011-09-13 International Business Machines Corporation Systems and methods for protecting web based applications from cross site request forgery attacks
US8924553B2 (en) * 2009-08-31 2014-12-30 Red Hat, Inc. Multifactor validation of requests to thwart cross-site attacks
US8904521B2 (en) * 2009-11-30 2014-12-02 Red Hat, Inc. Client-side prevention of cross-site request forgeries
US8775818B2 (en) * 2009-11-30 2014-07-08 Red Hat, Inc. Multifactor validation of requests to thwart dynamic cross-site attacks
US8438649B2 (en) 2010-04-16 2013-05-07 Success Factors, Inc. Streaming insertion of tokens into content to protect against CSRF
EP2625655A4 (en) 2010-10-06 2014-04-16 Planet Data Solutions SYSTEM AND METHOD FOR INDEXING ELECTRONIC DETECTION DATA
GB2501276A (en) * 2012-04-18 2013-10-23 Ibm Determining web page loading at a client

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002057722A (ja) * 2000-08-11 2002-02-22 Masanao Kuninobu インターネット回線の負荷抑制・不正利用の防止システム
JP2005134995A (ja) * 2003-10-28 2005-05-26 Recruit Co Ltd セキュリティ管理システム及びセキュリティ管理方法ならびにセキュリティ管理プログラム
JP2005293117A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd セキュリティ向上補助プログラム、サーバ装置、セキュリティ向上補助方法
JP2006192878A (ja) * 2004-12-13 2006-07-27 Canon Inc 画像形成装置、情報処理方法、ならびにプログラム、記憶媒体
JP2007522582A (ja) * 2004-02-17 2007-08-09 マイクロソフト コーポレーション 階段化されたオブジェクト関連の信用決定

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6519702B1 (en) * 1999-01-22 2003-02-11 Sun Microsystems, Inc. Method and apparatus for limiting security attacks via data copied into computer memory
WO2001065330A2 (en) * 2000-03-03 2001-09-07 Sanctum Ltd. System for determining web application vulnerabilities
US7343626B1 (en) * 2002-11-12 2008-03-11 Microsoft Corporation Automated detection of cross site scripting vulnerabilities
US7359976B2 (en) * 2002-11-23 2008-04-15 Microsoft Corporation Method and system for improved internet security via HTTP-only cookies
US7500099B1 (en) * 2003-05-16 2009-03-03 Microsoft Corporation Method for mitigating web-based “one-click” attacks
US20040260754A1 (en) * 2003-06-20 2004-12-23 Erik Olson Systems and methods for mitigating cross-site scripting
GB2412189B (en) * 2004-03-16 2007-04-04 Netcraft Ltd Security component for use with an internet browser application and method and apparatus associated therewith
US7496962B2 (en) * 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US7831995B2 (en) * 2004-10-29 2010-11-09 CORE, SDI, Inc. Establishing and enforcing security and privacy policies in web-based applications
US8112799B1 (en) * 2005-08-24 2012-02-07 Symantec Corporation Method, system, and computer program product for avoiding cross-site scripting attacks
US20070107057A1 (en) * 2005-11-10 2007-05-10 Docomo Communications Laboratories Usa, Inc. Method and apparatus for detecting and preventing unsafe behavior of javascript programs
US20070113282A1 (en) * 2005-11-17 2007-05-17 Ross Robert F Systems and methods for detecting and disabling malicious script code
US7712137B2 (en) * 2006-02-27 2010-05-04 Microsoft Corporation Configuring and organizing server security information
US8024804B2 (en) * 2006-03-08 2011-09-20 Imperva, Inc. Correlation engine for detecting network attacks and detection method
US7594142B1 (en) * 2006-06-30 2009-09-22 Microsoft Corporation Architecture for automated detection and analysis of security issues
US20080047009A1 (en) * 2006-07-20 2008-02-21 Kevin Overcash System and method of securing networks against applications threats
US7934253B2 (en) * 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
JP2008084117A (ja) * 2006-09-28 2008-04-10 Fujitsu Ltd リクエスト送信制御プログラム,装置,および方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002057722A (ja) * 2000-08-11 2002-02-22 Masanao Kuninobu インターネット回線の負荷抑制・不正利用の防止システム
JP2005134995A (ja) * 2003-10-28 2005-05-26 Recruit Co Ltd セキュリティ管理システム及びセキュリティ管理方法ならびにセキュリティ管理プログラム
JP2007522582A (ja) * 2004-02-17 2007-08-09 マイクロソフト コーポレーション 階段化されたオブジェクト関連の信用決定
JP2005293117A (ja) * 2004-03-31 2005-10-20 Fujitsu Ltd セキュリティ向上補助プログラム、サーバ装置、セキュリティ向上補助方法
JP2006192878A (ja) * 2004-12-13 2006-07-27 Canon Inc 画像形成装置、情報処理方法、ならびにプログラム、記憶媒体

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010182293A (ja) * 2008-12-18 2010-08-19 Symantec Corp マン・イン・ザ・ブラウザ攻撃を検出するための方法およびシステム
JP2012208743A (ja) * 2011-03-30 2012-10-25 Kyocera Communication Systems Co Ltd ページ変化判定装置

Also Published As

Publication number Publication date
JP4908131B2 (ja) 2012-04-04
US20080083032A1 (en) 2008-04-03

Similar Documents

Publication Publication Date Title
JP4908131B2 (ja) 非即時処理存在可能性の表示処理プログラム,装置,および方法
EP2447878B1 (en) Web based remote malware detection
EP1990977B1 (en) Client side protection against drive-by pharming via referrer checking
CA2595758C (en) System for detecting vulnerabilities in web applications using client-side application interfaces
US8621065B1 (en) Dynamic blocking of suspicious electronic submissions
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
US20160006760A1 (en) Detecting and preventing phishing attacks
US20150150077A1 (en) Terminal device, mail distribution system, and security check method
CN107209831B (zh) 用于识别网络攻击的系统和方法
US20080289035A1 (en) Method and system for preventing password theft through unauthorized keylogging
Bhavani Cross-site scripting attacks on android webview
US20140283078A1 (en) Scanning and filtering of hosted content
CN109672658B (zh) Json劫持漏洞的检测方法、装置、设备及存储介质
US8893270B1 (en) Detection of cross-site request forgery attacks
CN107612926B (zh) 一种基于客户端识别的一句话WebShell拦截方法
WO2007076716A2 (en) System and method of blocking keyloggers
US11303670B1 (en) Pre-filtering detection of an injected script on a webpage accessed by a computing device
US8001599B2 (en) Precise web security alert
US20130103743A1 (en) Medium for storing control program, client apparatus, and control method for client apparatus
JP5197681B2 (ja) ログインシール管理システム及び管理サーバ
JP5244781B2 (ja) Webサーバ及び方法
JP4232431B2 (ja) ブラウザー関連のセキュリティチェックプログラム
JP2013025462A (ja) 情報処理システム、情報処理方法およびプログラム
JP4708767B2 (ja) ウェブ閲覧システム
Jayaraman et al. Enforcing request integrity in web applications

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090611

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111011

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111212

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20111212

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20111212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120110

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120112

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees