JP2008262311A - セキュリティ検査用モデル生成プログラム,装置,およびセキュリティ検査用モデル検査装置 - Google Patents
セキュリティ検査用モデル生成プログラム,装置,およびセキュリティ検査用モデル検査装置 Download PDFInfo
- Publication number
- JP2008262311A JP2008262311A JP2007103371A JP2007103371A JP2008262311A JP 2008262311 A JP2008262311 A JP 2008262311A JP 2007103371 A JP2007103371 A JP 2007103371A JP 2007103371 A JP2007103371 A JP 2007103371A JP 2008262311 A JP2008262311 A JP 2008262311A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- attacker
- model
- security
- procedure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 モデル生成装置1の情報入力受付部11は,検査対象のwebアプリケーションの仕様情報,セキュリティ仕様情報,環境情報など指示情報10の入力を受け付け,モデル構築部13は,指示情報10をもとに,複数のリクエスト・レスポンスで構成される手順のうち,攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を実現するモデル2を構築し,モデル出力部15は,モデル2を出力する。モデル検査装置3は,モデル2によるモデル検査を行い,検査結果4を出力する。
【選択図】 図1
Description
T. Gross, B. Pfitzmann, and A-R Sadeghi, "Browser Model for Security Analysis of Browser-Based Protocols", Proc. ESORICS 2005, LNCS 3679, pp. 489-508. Springer,2005年 (http://eprint.iacr.org/2005/127) Haydar, A. Petrenko, H. Sahraoui, "Formal Verification of web Applications Modeled by Communicating Automata", Proc. of FORTE 2004, LNCS 3235, pp. 115-132. Springer, 2004年 (http://www.crim.ca/files/documents/services/rd/publications/ASD_HayMals_Forte04.pdf)
コンピュータに,
webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を作成する短縮攻撃手順作成処理を
実行させるための
セキュリティ検査用モデル生成プログラム。
前記短縮攻撃手順の対象となる攻撃手順は,一つの攻撃手順の後に,さらにレスポンスの偽造あるいは改ざんを生じさせるクッキー強制に関する攻撃手順であること
を特徴とする
前記付記1に記載のセキュリティ検査用モデル生成プログラム。
前記短縮攻撃手順の対象となる攻撃手順は,前記攻撃者によって作成されたスクリプトを,前記サーバのwebページに混入させることによって,所定の情報の盗み出しを生じさせる攻撃手順であること
を特徴とする
前記付記1に記載のセキュリティ検査用モデル生成プログラム。
前記コンピュータに,
ユーザによって入力される,前記webアプリケーションの仕様情報,セキュリティ仕様情報,ならびに前記webアプリケーションがおかれる環境情報であって前記攻撃者が実行する攻撃の定義を含む情報を取得する入力設定情報受付処理と,
前記短縮攻撃手順作成処理において,前記仕様情報,前記セキュリティ仕様情報,および前記環境情報をもとに前記短縮攻撃手順を変更する処理とを,
実行させるための
前記付記1〜前記付記3のいずれか一項に記載のセキュリティ検査用モデル生成プログラム。
webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を作成する短縮攻撃手順作成部を備える
セキュリティ検査用モデル生成装置。
webアプリケーションのセキュリティ検査用モデルを生成する装置であって,
webアプリケーションの仕様情報,セキュリティ仕様情報,前記webアプリケーションがおかれる環境情報であって前記攻撃者が実行する攻撃の定義を含む情報を取得する入力設定情報受付部と,
前記仕様情報,前記セキュリティ仕様情報,および前記環境情報をもとに,前記攻撃の結果に対応する攻撃者用メッセージ識別子を作成する識別子作成部と,
前記webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を作成する短縮攻撃手順作成部と,
前記短縮攻撃手順のチャネル定義を設定するチャネル定義作成部と,
前記攻撃者用メッセージ識別子,前記短縮攻撃手順のチャネル定義を含むセキュリティ検査用モデルを出力するモデル出力部とを
備えることを特徴とするセキュリティ検査用モデル生成装置。
webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を含むセキュリティ検査用モデルを実行する実行部と,
前記webアプリケーションの実行時の手順が所定結果であるかを判定する検査部とを備える
セキュリティ検査用モデル検査装置。
11 情報入力受付部
13 モデル構築部
15 モデル出力部
2 モデル(モデルデータ)
3 モデル検査装置
4 検査結果
10 指示情報
Claims (6)
- コンピュータに,
webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を作成する短縮攻撃手順作成処理を
実行させるための
セキュリティ検査用モデル生成プログラム。 - 前記短縮攻撃手順の対象となる攻撃手順は,一つの攻撃手順の後に,さらにレスポンスの偽造あるいは改ざんを生じさせるクッキー強制に関する攻撃手順であること
を特徴とする
請求項1に記載のセキュリティ検査用モデル生成プログラム。 - 前記短縮攻撃手順の対象となる攻撃手順は,前記攻撃者によって作成されたスクリプトを,前記サーバのwebページに混入させることによって,所定の情報の盗み出しを生じさせる攻撃手順であること
を特徴とする
請求項1に記載のセキュリティ検査用モデル生成プログラム。 - 前記コンピュータに,
ユーザによって入力される,前記webアプリケーションの仕様情報,セキュリティ仕様情報,ならびに前記webアプリケーションがおかれる環境情報であって前記攻撃者が実行する攻撃の定義を含む情報を取得する入力設定情報受付処理と,
前記短縮攻撃手順作成処理において,前記仕様情報,前記セキュリティ仕様情報,および前記環境情報をもとに前記短縮攻撃手順を変更する処理とを,
実行させるための
請求項1〜請求項3のいずれか一項に記載のセキュリティ検査用モデル生成プログラム。 - webアプリケーションのセキュリティ検査用モデルを生成する装置であって,
webアプリケーションの仕様情報,セキュリティ仕様情報,前記webアプリケーションがおかれる環境情報であって前記攻撃者が実行する攻撃の定義を含む情報を取得する入力設定情報受付部と,
前記仕様情報,前記セキュリティ仕様情報,および前記環境情報をもとに,前記攻撃の結果に対応する攻撃用メッセージ識別子を作成する識別子作成部と,
前記webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を作成する短縮攻撃手順作成部と,
前記短縮攻撃手順のチャネル定義を設定するチャネル定義作成部と,
前記攻撃用メッセージ識別子,前記短縮攻撃手順のチャネル定義を含むセキュリティ検査用モデルを出力するモデル出力部とを
備えることを特徴とするセキュリティ検査用モデル生成装置。 - webアプリケーションのブラウザ,サーバ,および攻撃者それぞれの間で実行される複数のリクエスト・レスポンスで構成される手順のうち,前記攻撃者によって作成された攻撃者ページによるリクエスト送信の強制または誘導を生じる攻撃手順について,当該攻撃の効果をより少ない手順数で生じさせるように定義した短縮攻撃手順を含むセキュリティ検査用モデルを実行する実行部と,
前記webアプリケーションの実行時の手順が所定結果であるかを判定する検査部とを備える
セキュリティ検査用モデル検査装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007103371A JP5082555B2 (ja) | 2007-04-11 | 2007-04-11 | セキュリティ検査用モデル生成装置,セキュリティ検査用モデル検査装置,およびセキュリティ検査用モデル生成プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007103371A JP5082555B2 (ja) | 2007-04-11 | 2007-04-11 | セキュリティ検査用モデル生成装置,セキュリティ検査用モデル検査装置,およびセキュリティ検査用モデル生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008262311A true JP2008262311A (ja) | 2008-10-30 |
JP5082555B2 JP5082555B2 (ja) | 2012-11-28 |
Family
ID=39984755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007103371A Expired - Fee Related JP5082555B2 (ja) | 2007-04-11 | 2007-04-11 | セキュリティ検査用モデル生成装置,セキュリティ検査用モデル検査装置,およびセキュリティ検査用モデル生成プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5082555B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011086201A (ja) * | 2009-10-16 | 2011-04-28 | Fujitsu Ltd | テストプログラム、テスト方法、およびテスト装置 |
JP2012146100A (ja) * | 2011-01-11 | 2012-08-02 | Fujitsu Ltd | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム |
WO2014191847A1 (en) * | 2013-05-29 | 2014-12-04 | International Business Machines Corporation | Optimizing test data payload selection for testing computer software applications using computer networks |
JP2015032299A (ja) * | 2013-08-07 | 2015-02-16 | Kddi株式会社 | Webコンテンツ配信装置 |
WO2019142335A1 (ja) * | 2018-01-19 | 2019-07-25 | 三菱電機株式会社 | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000268074A (ja) * | 1999-03-18 | 2000-09-29 | Toshiba Corp | 検証プログラム自動生成装置および方法並びにプロパティ自動生成装置および方法 |
JP2003108521A (ja) * | 2001-09-29 | 2003-04-11 | Toshiba Corp | 脆弱性評価プログラム、方法及びシステム |
-
2007
- 2007-04-11 JP JP2007103371A patent/JP5082555B2/ja not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000268074A (ja) * | 1999-03-18 | 2000-09-29 | Toshiba Corp | 検証プログラム自動生成装置および方法並びにプロパティ自動生成装置および方法 |
JP2003108521A (ja) * | 2001-09-29 | 2003-04-11 | Toshiba Corp | 脆弱性評価プログラム、方法及びシステム |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011086201A (ja) * | 2009-10-16 | 2011-04-28 | Fujitsu Ltd | テストプログラム、テスト方法、およびテスト装置 |
JP2012146100A (ja) * | 2011-01-11 | 2012-08-02 | Fujitsu Ltd | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム |
WO2014191847A1 (en) * | 2013-05-29 | 2014-12-04 | International Business Machines Corporation | Optimizing test data payload selection for testing computer software applications using computer networks |
US9135153B2 (en) | 2013-05-29 | 2015-09-15 | International Business Machines Corporation | Optimizing test data payload selection for testing computer software applications via computer networks |
US9135152B2 (en) | 2013-05-29 | 2015-09-15 | International Business Machines Corporation | Optimizing test data payload selection for testing computer software applications via computer networks |
JP2016530587A (ja) * | 2013-05-29 | 2016-09-29 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | コンピュータ・ネットワークを用いてコンピュータ・ソフトウェア・アプリケーションをテストするための方法、システム及びコンピュータ・プログラム |
JP2015032299A (ja) * | 2013-08-07 | 2015-02-16 | Kddi株式会社 | Webコンテンツ配信装置 |
WO2019142335A1 (ja) * | 2018-01-19 | 2019-07-25 | 三菱電機株式会社 | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム |
JP6608569B1 (ja) * | 2018-01-19 | 2019-11-20 | 三菱電機株式会社 | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5082555B2 (ja) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10243679B2 (en) | Vulnerability detection | |
Gupta et al. | PHP-sensor: a prototype method to discover workflow violation and XSS vulnerabilities in PHP web applications | |
Gupta et al. | Hunting for DOM-Based XSS vulnerabilities in mobile cloud-based online social network | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
Shahriar et al. | Client-side detection of cross-site request forgery attacks | |
Deepa et al. | DetLogic: A black-box approach for detecting logic vulnerabilities in web applications | |
EP3287930A1 (en) | Javascript security testing | |
Bozic et al. | Planning-based security testing of web applications with attack grammars | |
JP5082555B2 (ja) | セキュリティ検査用モデル生成装置,セキュリティ検査用モデル検査装置,およびセキュリティ検査用モデル生成プログラム | |
Hou et al. | A dynamic detection technique for XSS vulnerabilities | |
Kapodistria et al. | An advanced web attack detection and prevention tool | |
Huang et al. | Non-detrimental web application security scanning | |
Gegick et al. | On the design of more secure software-intensive systems by use of attack patterns | |
Liu et al. | A XSS vulnerability detection approach based on simulating browser behavior | |
Bozic et al. | Planning-based security testing of web applications | |
JP6785360B2 (ja) | 攻撃文字列生成方法および装置 | |
Cvitić et al. | Defining Cross-Site Scripting Attack Resilience Guidelines Based on BeEF Framework Simulation | |
Lin et al. | An automatic meta-revised mechanism for anti-malicious injection | |
Hassan et al. | ADT-SQLi: An Automated Detection of SQL Injection Vulnerability in Web Applications | |
Noß et al. | Finding All Cross-Site Needles in the DOM Stack: A Comprehensive Methodology for the Automatic XS-Leak Detection in Web Browsers | |
Vernotte | A pattern-driven and model-based vulnerability testing for web applications | |
Soleimani et al. | WAVE: Black Box Detection of XSS, CSRF and Information Leakage Vulnerabilities | |
Nanda et al. | Web application attack prevention for tiered internet services | |
Josip et al. | Planning-based security testing of web applications with attack grammars | |
Alves | MockingPot: Generate and Integrate Honeypots Into Existing Web Applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100119 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120501 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20120501 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120501 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120529 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120719 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120807 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120820 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |