JP2013520719A - ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム - Google Patents
ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム Download PDFInfo
- Publication number
- JP2013520719A JP2013520719A JP2012553807A JP2012553807A JP2013520719A JP 2013520719 A JP2013520719 A JP 2013520719A JP 2012553807 A JP2012553807 A JP 2012553807A JP 2012553807 A JP2012553807 A JP 2012553807A JP 2013520719 A JP2013520719 A JP 2013520719A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- web
- diagnosis
- link
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本発明に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムは、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析して、主たる脆弱性が存在するか否かを確認し、その結果情報をユーザPCに伝送することができ、脆弱性の発見状況と、進行過程及びウェブページ内にリンクされた外部URLをユーザ画面にディスプレイすることから直観的なサービスが提供可能であり、ウェブページの分析によって因子値のうち特殊文字または予約語(システム命令語)のフィルタリングの有無を確認することにより、URLに含まれている情報流出の可能性を見出すことができ、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性が分類された結果を示すことができることはもとより、各DB別の脆弱性に関する資料をプログラム内に資料の形式で保有して、ウェブサービスから送られてきた結果と照合して問題点の有無を確認することができ、ウェブページのリンクを見出して問題点を確認する過程及び分析が行われる過程をオンライン上においてユーザが直接確認することができる。なお、スクリプトを分析する部分があり、インデックスページを分析した部分によってリンクを分析して、リンクごとに検査を行う過程をリアルタイムにて確認することができることはもとより、診断の最中にそれまで行われた結果を随時確認することができ、接続されたリンクを確認することも可能であり、ユーザのブラウザにおいて問題が発生するURLとURLに含まれている因子(問題が発生する因子)、問題の種類を直視することにより、ユーザのどのような問題が存在するかを確認することができ、ウェブページの分析時に外部リンク部分を確認することができることはもとより、ウェブサービスにおいて悪性コードを流布する外部ドメインが存在する場合に手軽に見出すことができ、オンラインにおけるユーザ選択によるサービス診断に対する項目、リアルタイムにて進行過程を確認する項目、診断結果をオンラインにおいて確認して問題点確認すると共に、問題点に対する対策までも直接確認することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムに関する。
【選択図】図1
【選択図】図1
Description
本発明は、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析して、主たる脆弱性が存在するか否かを確認し、その結果情報をユーザPCに伝送することができ、脆弱性の発見状況と、進行過程及びウェブページ内にリンクされた外部URLをユーザ画面にディスプレイすることから直観的なサービスが提供可能であり、ウェブページの分析によって因子値のうち特殊文字または予約語(システム命令語)のフィルタリングの有無を確認することにより、URLに含まれている情報流出の可能性を見出すことができ、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性が分類された結果を示すことができることはもとより、各DB別の脆弱性に関する資料をプログラム内に資料の形式で保有して、ウェブサービスから送られてきた結果と照合して問題点の有無を確認することができ、ウェブページのリンクを見出して問題点を確認する過程及び分析が行われる過程をオンライン上においてユーザが直接確認することができる。なお、スクリプトを分析する部分があり、インデックスページを分析した部分によってリンクを分析して、リンクごとに検査を行う過程をリアルタイムにて確認することができることはもとより、診断の最中にそれまで行われた結果を随時確認することができ、接続されたリンクを確認することも可能であり、ユーザのブラウザにおいて問題が発生するURLとURLに含まれている因子(問題が発生する因子)、問題の種類を直視することにより、ユーザのどのような問題が存在するかを確認することができ、ウェブページの分析時に外部リンク部分を確認することができることはもとより、ウェブサービスにおいて悪性コードを流布する外部ドメインが存在する場合に手軽に見出すことができ、オンラインにおけるユーザ選択によるサービス診断に対する項目、リアルタイムにて進行過程を確認する項目、診断結果をオンラインにおいて確認して問題点確認すると共に、問題点に対する対策までも直接確認することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムに関する。
通信技術の発達及びインターネットの大衆化によって、オフラインを介して行われていた業務がオンライン上において行われている。既存のオフラインにおいて行われていた多くの業務がオンライン上において行われるためには、各サービスプロバイダーは、一種の窓口の役割を果たす「ウェブアプリケーション」をユーザに提供することとなる。しかしながら、ウェブアプリケーションを介して入出力される情報のうち、ユーザの金融情報など外部に流出されて悪用されたときにユーザに直接的で且つ金銭的な被害を与える虞のある情報がある。
このため、いわゆるハッカーは、このような情報にアクセスするために、情報の唯一の通路であるウェブアプリケーションへと攻撃の目標を移している傾向にあり、セキュリティが考慮されていないウェブアプリケーションはこのような攻撃に負け易い状況である。
OWASP(Open Web Application Security Project)において発表した「A Guide to Building Secure Web Application」という文書においては、このようなウェブアプリケーションに対する攻撃の類型として、SQLインジェクション、クックスプーフィング及びインジェクション、ファイルのアップロード及びダウンロード、パラメータの改ざん、クロスサイトスクリプティング(XSS:Cross Site scripting)などを例示しているが、これらのウェブアプリケーションに対する攻撃の類型のうち現在最も問題視されているのは、SQLインジェクション及びXSSである。
SQLインジェクションとは、悪意的な命令語の注入攻撃の一つであり、ウェブサイトユーザ認証ウィンドウやURL直接入力ウィンドウなどを介して非正常的なSQL命令語を入力することにより、SQLクエリーを変調して未許可の情報を取得する攻撃技法を意味する。このようなSQLインジェクションが発生する場合に、ユーザ認証が非正常的に行われるか、データベースに格納されたデータが任意に閲覧されるか、あるいは、データベースのシステム命令を用いたシステム操作が可能になるとった被害が発生する虞がある。
XSSとは、動的に生成されたウェブページに悪意的なスクリプトを埋め込んで、ユーザが当該ウェブページを閲覧した場合に、埋め込まれたスクリプトが実行されることにより、ユーザのデータを奪う攻撃技法を意味する。このようなCSSが発生する場合に、ユーザのクッキー情報が流出されるか、あるいは、ユーザの端末に悪性コードが実行されるといった被害が発生することがある。
このようなウェブアプリケーションに対する様々な攻撃を防ぐためには、URLに含まれている各因子別に攻撃コードが侵入することを遮断する必要があり、各因子別の攻撃コードの侵入を源泉的に遮断するためには、何よりも各URLに含まれている全ての因子に対して、各攻撃類型別に脆弱性が存在するか否かの判断が先行される必要がある。
しかしながら、URLに含まれている因子のうち同じ因子が多数存在するにも関わらず、従来の各URL因子別の脆弱性有無の判断方法は、URLに含まれている全ての因子を対象として脆弱性が行われていたため、脆弱性の判断に長時間がかかるという問題点があり、しかも、判断済みのURLまたは因子に対しても重複して脆弱性の判断が行われる虞があるという問題点がある。特に、このような問題点は、ポータルウェブサイトのように大規模のウェブサイトであるほど一層深刻になるといえる。
本発明は、上記の問題点を解消するためになされたものであり、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析して、主たる脆弱性が存在するか否かを確認し、その結果情報をユーザPCに伝送することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにその目的がある。
本発明の他の目的は、脆弱性の発見状況と、進行過程及びウェブページ内にリンクされた外部URLをユーザ画面にディスプレイすることから直観的なサービス提供が可能になる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、ウェブページの分析によって因子値のうち特殊文字または予約語(システム命令語)のフィルタリングの有無を確認することにより、URLに含まれている情報流出の可能性を見出すことができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性が分類された結果を表示することができることはもとより、各DB別の脆弱性に関する資料をプログラム内に資料の形式で保有して、ウェブサービスから送られてきた結果と照合して問題点の有無を確認することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、ウェブページのリンクを見出して問題点を確認する過程及び分析が行われる過程をオンライン上においてユーザが直接確認することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、スクリプトを分析する部分があり、インデックスページを分析した部分によってリンクを分析して、リンクごとに検査を行う過程をリアルタイムにて確認することができることはもとより、診断の最中にそれまで行われた結果を随時確認することができ、接続されたリンクを確認することも可能になる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、ユーザのブラウザにおいて問題が発生するURLとURLに含まれている因子(問題が発生する因子)、問題の種類を直視することにより、ユーザのどのような問題が存在するかを確認することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、ウェブページの分析時に外部リンク部分を確認することができることはもとより、ウェブサービスにおいて悪性コードを流布する外部ドメインが存在する場合に手軽に見出すことができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
本発明のさらに他の目的は、オンラインにおけるユーザ選択によるサービス診断に対する項目、リアルタイムにて進行過程を確認する項目、診断結果をオンラインにおいて確認して問題点を確認すると共に、問題点に対する対策までも直接確認することができる、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを提供するところにある。
上記の目的を達成するための本発明の好適な一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムは、ユーザが、ユーザ端末から、最初のユーザが管理するウェブサービスのURL若しくは開始ページを入力または選択して、脆弱性判別システムにより診断する機能を有し、前記脆弱性判別システムから、脆弱性の結果情報と、悪性コードの確認された外部リンクの問題点に関する解決情報と、統計情報と、を伝送されるユーザ端末と、前記ユーザ端末から、ウェブサービスのURL若しくは開始ページを入力され、URLリンクを抽出し、ウェブページを走査して対象システムに伝送した後、対象システムから発見した問題が転送されウェブページを分析し、脆弱性データベースに格納した後、診断結果情報と解決情報をユーザ端末に伝送する脆弱性判別システムと、前記脆弱性判別システムから伝送されたウェブページを読み込んで診断し、脆弱性とリンクの問題を発見して脆弱性判別システムに伝送する対象システムと、を備えることを特徴とする。
前記本発明において、前記脆弱性判別システムは、ユーザ端末から、ウェブサービスのURL若しくは開始ページを入力されて走査して対象システムに伝送する脆弱性スキャナと、前記ユーザ端末からウェブサービスのURLを入力され、URLリンクを抽出するURLリンク抽出部と、前記脆弱性スキャナから対象システムへとウェブページを伝送した後、対象システムから診断結果を受け取って分析するウェブページ分析部と、前記ウェブページ分析部において分析された結果における脆弱性問題を格納する脆弱性データベースと、前記脆弱性問題に関する解決情報を有していて、問題が発生すると、適切に脆弱性を解決する脆弱性解決リンク部と、前記対象システムから伝送された脆弱性問題と解決情報をユーザ端末に伝送する診断結果転送部と、を備えることを特徴とする。
前記本発明において、前記URLリンク抽出部におけるリンク確認は、Htmlにおいて用いるurlリンク部分、すなわち、src、img、href、li、option、formなどの因子値を調べてリンクを確認するか、あるいは、ウェブページ内のソースにおいてウェブサービスが用いる拡張子を有している文字列に対するアドレス、http、httpsを、文字をもって判別して確認するか、あるいは、「、」、引用符号で囲まれている文字の値を全て読み込んだ後、ウェブページのアドレス形式を有している文字列の値を読み込んでアドレスの有無を判別して確認することを特徴とする。
前記本発明において、前記URLリンク抽出部におけるリンクの確認方式は、ウェブページではない別個のファイルとして見なされ得るxmlファイル、jsファイル、swf(フラッシュ)ファイルにも同様に適用できることを特徴とする。
前記本発明において、前記ウェブページ分析部におけるフラッシュファイルの分析は、ファイルをリアルタイムにてダウンロードしてウェブページ分析部に接続し、ウェブページ分析部においては、フラッシュファイルの有無を確認した後、内部のファイル構造を分析して、アクションスクリプトで作成された部分を見出し、当該部分に存在する外部リンク及び内部リンクを見出して次に訪問すべきアドレスに格納することを特徴とする。
前記本発明において、前記対象システムは、ウェブページに存在する脆弱性を速やかに診断するために、リアルタイムにて分析可能な脆弱性に基本的な問題が存在するか否かを確認するための因子区切り部と、各因子に追加の文字を入力して診断対象となるウェブサービスに転送する転送部と、ウェブサービスの戻された結果を判別する判別部と、を備えることを特徴とする。
本発明に係る、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムは、下記の効果を奏する。
まず、本発明は、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析し、主たる脆弱性が存在するか否かを確認し、その結果情報をユーザPCに伝送することができる。
第二に、本発明は、脆弱性の発見状況と、進行過程及びウェブページ内にリンクされた外部URLをユーザ画面にディスプレイすることから直観的なサービス提供が可能になる。
第三に、本発明は、ウェブページの分析によって因子値のうち特殊文字または予約語(システム命令語)のフィルタリングの有無を確認することにより、URLに含まれている情報流出の可能性を見出すことができる。
第四に、本発明は、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性が分類された結果を表示することができることはもとより、各DB別の脆弱性に関する資料をプログラム内に資料の形式で保有して、ウェブサービスから送られてきた結果と照合して問題点の有無を確認することができる。
第五に、本発明は、ウェブページのリンクを見出して問題点を確認する過程及び分析が行われる過程をオンライン上においてユーザが直接確認することができる。
第六に、本発明は、スクリプトを分析する部分があり、インデックスページを分析した部分によってリンクを分析して、リンクごとに検査を行う過程をリアルタイムにて確認することができることはもとより、診断の最中にそれまで行われた結果を随時確認することができ、接続されたリンクを確認することも可能になる。
第七に、本発明は、ユーザのブラウザにおいて問題が発生するURLとURLに含まれている因子(問題が発生する因子)、問題の種類を直視することにより、ユーザのどのような問題が存在するかを確認することができる。
第八に、本発明は、ウェブページの分析時に外部リンク部分を確認することができることはもとより、ウェブサービスにおいて悪性コードを流布する外部ドメインが存在する場合に手軽に見出すことができる。
最後に、本発明は、オンラインにおけるユーザ選択によるサービス診断に対する項目、リアルタイムにて進行過程を確認する項目、診断結果をオンラインにおいて確認して問題点を確認すると共に、問題点に対する対策までも直接確認することができる。
以下、添付図面に基づき、本発明の好適な実施形態を説明する。本発明を説明するに当たって、関連する公知技術又は構成についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると判断される場合には、その詳細な説明は省き、後述する用語は、本発明における機能を考慮して定義された用語であり、これは、ユーザ、運用者の意図または慣例などによって異なってくるため、その定義は、本発明に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを説明する本明細書の全般に亘っての内容を踏まえて下されるべきである。
図1は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを説明するために示す図である。
前記ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムは、ユーザ端末100と、脆弱性判別システム200と、脆弱性スキャナ210と、ウェブページ分析部220と、URLリンク抽出部230と、診断結果転送部240と、脆弱性データベース250と、脆弱性解決リンク部260と、対象システム300と、ウェブページ310と、DBスサーバー320、を備える。
図1に示すように、ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムは、ユーザが、ユーザ端末から、最初のユーザが管理するウェブサービスのURL若しくは開始ページを入力または選択して、脆弱性判別システムにより診断する機能を有し、前記脆弱性判別システムから、脆弱性の結果情報と、悪性コードの確認された外部リンクの問題点に関する解決情報と、統計情報と、を伝送されるユーザ端末100と、前記ユーザ端末から、ウェブサービスのURL若しくは開始ページを入力され、URLリンクを抽出し、ウェブページを走査して対象システムに伝送した後、対象システムから発見した問題を転送されてウェブページを分析し、脆弱性データベースに格納した後、診断結果情報と解決情報をユーザ端末に伝送する脆弱性判別システム200と、前記脆弱性判別システムから伝送されたウェブページを読み込んで診断し、脆弱性とリンクの問題を発見して脆弱性判別システムに伝送する対象システム300と、を備える。
以下、前記本発明に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムを構成する技術的手段の機能について説明する。
前記ユーザ端末100は、ユーザが、ユーザ端末100から、最初のユーザが管理するウェブサービスのURL若しくは開始ページを入力または選択して、脆弱性判別システム200を用いて診断する機能を有し、前記脆弱性判別システム200から、脆弱性の結果情報と、悪性コードの確認された外部リンクの問題点に関する解決情報と、統計情報と、を伝送される。
前記脆弱性判別システム200は、前記ユーザ端末100から、ウェブサービスのURL若しくは開始ページを入力され、URLリンクを抽出し、ウェブページを走査して対象システム300に伝送した後、対象システム300から発見した問題を転送されてウェブページを分析し、脆弱性データベース250に格納した後、診断結果情報と解決情報をユーザ端末に伝送する。
ここで、前記脆弱性判別システム200は、ユーザ端末100からウェブサービスのURL若しくは開始ページを入力され、且つ、走査して対象システム300に伝送する脆弱性スキャナ210と、前記ユーザ端末100からウェブサービスのURLを入力され、URLリンクを抽出するURLリンク抽出部230と、前記脆弱性スキャナ210から対象システム300へとウェブページを伝送した後、対象システム300から診断結果を受け取って分析するウェブページ分析部220と、前記ウェブページ分析部220において分析された結果における脆弱性問題を格納する脆弱性データベース250と、前記脆弱性問題に関する解決情報を有しており、問題が発生すると、適切に脆弱性を解決する脆弱性解決リンク部260と、前記対象システム300から伝送された脆弱性問題と解決情報をユーザ端末100に転送する診断結果転送部240を備える。
前記URLリンク抽出部230におけるリンクの確認は、第一に、Htmlにおいて用いるurlリンク部分、すなわち、src、img、href、li、option、formなどの因子値を調べてリンクを確認する、第二に、ウェブページ内のソースにおいてウェブサービスが用いる拡張子を有している文字列に対するアドレス、http、httpsを文字をもって判別して確認する、第三に、「、」、引用符号で囲まれている文字列の値を全て読み込んだ後、ウェブページのアドレス形式を有している文字列の値を読み込んでアドレスの有無を判別して確認する、といった方式により行われる。前記3種類の方式を同時に用いて、外部若しくは内部の他のページへのリンク部分を見出す部分が存在し、前記3種類の方式は、ウェブページではなく、別個のファイルとして見なされ得るxmlファイル、jsファイル、swf(フラッシュ)ファイルにも同様に適用できる。
前記ウェブページ分析部220におけるフラッシュファイルの分析は、ファイルをリアルタイムにてダウンロードしてウェブページ分析部に接続し、ウェブページ分析部においては、フラッシュファイルの有無を確認した後、内部のファイル構造を分析してアクションスクリプトで作成された部分を見出し、当該部分に存在する外部リンク及び内部リンクを見出して次に訪問して分析すべきアドレスに格納する。
前記対象システム300は、前記脆弱性判別システム200から伝送されたウェブページを読み込んで診断し、脆弱性とリンクの問題を発見して脆弱性判別システム200に伝送する。 ここで、前記対象システム300は、ウェブページに存在する脆弱性を速やかに診断するために、リアルタイムにて分析可能な脆弱性に基本的な問題が存在するか否かを確認するための因子区切り部と、各因子に追加の文字を入力して診断対象となるウェブサービスに転送する転送部と、ウェブサービスの戻された結果を判別する判別部と、を備える。ウェブサービスを介した速やかな診断を目的としているため、基本的に、ウェブサービスとデータベースサーバーとの間の通信結果を確認して問題点を指摘するインジェクション脆弱性と、ウェブページの結果に外部リンクを埋め込むXSS脆弱性とを重点的に診断するように構成されている。インジェクション脆弱性はほとんどのデータベースにおいて発見されており、ウェブサービスからデータベースへと転送される質疑構文(SQL)が外部入力によって操作された場合に、正常的なサービス結果値を伝送できない状況下においてページに転送される。
図2は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービス過程を説明するために示す図である。
図2に示すように、ユーザが、ユーザ端末100から、ウェブサービスのURL若しくはウェブページを入力し、ユーザ端末100のブラウザ画面においてウェブページのセキュリティ点検を受けるためにサービスを申請した後、正常的な認証であれば、ユーザがアドレスを入力または選択する。次いで、ユーザ端末100のブラウザ画面上においてウェブページのセキュリティを点検するためにユーザDBに認証確認をし、認証結果を受けてサービスを実行する。次いで、ウェブサービスのセキュリティを点検し、外部のリンクを確認するサービスを受けるために、脆弱性判別システム200内の脆弱性スキャナ210にウェブサービス情報を伝送する。次いで、脆弱性スキャナ210から脆弱性データベース250へと脆弱性分析の依頼が行われたとき、例えば、APP脆弱性を発見すると、脆弱性判別システム200内の脆弱性スキャナ210に脆弱性情報を伝送した後、脆弱性スキャナ210において診断サービスを行う。次いで、脆弱性スキャナ210は、ユーザ端末100のブラウザ画面に、脆弱性に対する結果と修正方案をウェブページの形式で表示する。次いで、ユーザは、ユーザ端末100のユーザのブラウザ画面からリアルタイムにて脆弱性に対する結果と修正方案を確認する。
図3は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性を分類した結果であり、DBの直接的なエラーが表示されている画面である。
図3からは、DBの直接的なエラーが画面に転送されることを確認することができ、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性を分類した結果を示しているが、上記の結果は、MSSQLに対するSQLインジェクションが可能であることを示している。現在支援可能なDBは、MSSQL、Oracle、Mysql、Postgre SQLであり、全世界のDBの90%以上に対する問題点が診断可能である。なお、各ウェブページの開発言語によって異なる結果が表示されることもあるが、開発言語は、Java、PHP、ASP、dotNet、Pl、CGIなどほとんどのウェブサービスの開発言語に対しても問題点を見出すようになっている。
各データベース別の脆弱性に関する資料をプログラム内に保有して、ウェブサービスから送られてきた結果と照合して問題点の有無を確認する部分が核心として作用し、各開発言語別の相違点による問題点は、プログラム内において別途の疑い結果判別ルーチンをもって運営することにより見出すことができる。
図4は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、アドレスをユーザが入力した後、診断を行ったときにユーザの画面に直観的に表示される結果値を示す画面である。
図4に示すように、アドレスをユーザが入力した後、診断を行ったとき、ユーザの画面に直観的に表示される結果値であるが、各ブラウザごとに異なる結果が表示されるが、全体の結果が閲覧可能であるということは既に確認されている。スクリプトを分析する部分があり、インデックスページを分析した部分によってリンクを分析してリンクごとに検査を行う過程をリアルタイムにて確認することができ、診断の最中にこれまで行われた結果を随時確認することができ、接続されたリンクを確認することも可能である。
図5は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、診断を行う最中にこれまでの結果を画面で直接確認する画面である。
図5に示すように、診断の最中にこれまでの結果を画面で直接確認することができるが、ユーザのブラウザにおいて直接確認することができ、問題が発生される部分に関する正確なデータを確認することができる。問題が発生されるURLとURLに含まれている因子(問題が発生される因子)、問題の種類を直視することにより、ユーザのどのような問題が存在するかを確認することができる。なお、診断が完了した後には、統計資料も提供され、現在は、以前の記録を比較して改善の有無を確認できる部分が存在する。なお、全体的な脆弱性の現況についても一目瞭然に確認することができる。
図6は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、ユーザのPCのブラウザページに表示される診断結果を示す画面である。
図6に示すように、統計値は、一回診断に対する統計と、以前の記録がある場合の統計とに分けられ、一回診断時には、全体のページに対する統計と、分析されたhtmlではないファイル(Flash、JS)に対する統計と、分析が試みられたページ(分析が試みられていないページは、分析エンジンにおいてURL構成を有さない因子として区別して除外された部分)と、疑われるURLのカウント(因子値をもってDBに質疑をする類型のページを区別する)及び以降には各脆弱性別の結果ルーチンが出る。各脆弱性は、危険度によって区別されており、軽重に応じて対応するようになっている。既に定義された脆弱性の他に、疑われる部分が存在する問題は、Suspicious validation errorという項目を介してユーザが直接確認できるようになっている。診断結果として、ユーザのPCのブラウザページに表示される結果は、リンクをクリックする場合に直接問題点を確認できるようになっている。ページの分析時には、外部リンク部分を確認することができ、ウェブサービスにおいて悪性コードを流布する外部ドメインが存在する場合に、手軽に見出すようになっている。
図7は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、ウェブサービス内にリンクされた全ての外部URLに対して結果を調べた後、ユーザのPCのブラウザページに表示される診断結果画面である。
図7は、ウェブサービス内にリンクされた全ての外部URLに対して結果を調べたものであり、どのようなページにおいてリンクが発見されたかを表示しているため、外部URLによる悪性コードの流布時に手軽に見出されるようになっている。
図8は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、オンラインにおけるユーザ選択によるサービス診断に対する項目、リアルタイムにて進行過程を確認する項目、診断結果をオンラインにおいて確認し、問題点を確認し、問題点に対する対策を直接確認できる画面である。
図8に示すように、オンラインにおけるユーザ選択によるサービス診断に対する項目、リアルタイムにて進行過程を確認する項目、診断結果をオンラインにおいて確認し、問題点を確認することができ、問題点に対する対策まで直接確認できる項目が選定される。なお、外部リンクを全てチェックして外部における悪性コードの流布位置と悪性コードを流布するドメインを全てのソースコードを分析することなく直観的に確認できる項目と、結果に対する統計値項目とがある。
図9は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、過去の診断実行時期を基準として、全体的な脆弱性が解決されていく過程を一目瞭然に確認できる画面である。
図9に示すように、統計部分は、過去の実行時期を基準として、全体的な脆弱性が解決されていく過程を一目瞭然に確認できるように構成されて、現在の脆弱性問題の解決の進み具合を確認することができる。上中下に分けられた脆弱性の危険度によって、以前の診断実行記録に基づいて回数ことに脆弱性発見カウントを生成してチャート化させることにより、実際のサービスの改善と変化を確認できるようになっている。
図10は、本発明の一実施形態に係るウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスにおいて、大量のドメインに対する診断結果を1画面にまとめて示すものである。
図10に示すように、ユーザから入力されて大規模のドメインに対して一括して診断可能なサービスも別途の項目として指定することができる。ユーザが登録したドメインにおいて一定の時間を指定したり、診断を行う場合に、1画面において全体の登録されたドメインの脆弱性を確認できるようになっている。このため、100余個以上のサブドメインに対して一括して診断が行われ、ユーザのブラウザ内に脆弱性項目が1枚の画面に表示されるようになっている。
このため、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析して、主たる脆弱性が存在するか否かを確認し、その結果情報をユーザPCに伝送することができ、脆弱性の発見状況と、進行過程及びウェブページ内にリンクされた外部URLをユーザ画面にディスプレイすることから直観的なサービスが提供可能であり、ウェブページの分析によって因子値のうち特殊文字または予約語(システム命令語)のフィルタリングの有無を確認することにより、URLに含まれている情報流出の可能性を見出すことができ、ウェブページに表示される前に対象システムから送られる結果を分析して、各DB別に脆弱性が分類された結果を示すことができることはもとより、各DB別の脆弱性に関する資料をプログラム内に資料の形式で保有して、ウェブサービスから送られてきた結果と照合して問題点の有無を確認することができ、ウェブページのリンクを見出して問題点を確認する過程及び分析が行われる過程をオンライン上においてユーザが直接確認することができる。
以上で説明した本発明は、本発明の属する技術分野における通常の知識を有する者にとって、本発明の技術的思想を逸脱しない範囲内において様々な置換、変形及び変更が可能なため、前述の実施例及び添付図面によって限定されるものではない。
産業上の利用可能性
以上述べたように、本発明は、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析して主たる脆弱性が存在するか否かを確認して診断し、その結果情報をユーザPCに伝送するサービスを提供するのに応用可能である。なお、ウェブアプリケーションに対する様々な形の攻撃を防ぐ分野に応用可能であるため、産業上の利用可能性がある発明である。
以上述べたように、本発明は、ウェブサービスを介してユーザのウェブサービスアドレスを入力され、当該ウェブサービスを自動的に訪問してリアルタイムにてウェブページを分析して主たる脆弱性が存在するか否かを確認して診断し、その結果情報をユーザPCに伝送するサービスを提供するのに応用可能である。なお、ウェブアプリケーションに対する様々な形の攻撃を防ぐ分野に応用可能であるため、産業上の利用可能性がある発明である。
100: ユーザ端末 200: 脆弱性判別システム
210: 脆弱性スキャナ 220: ウェブページ分析部
230: URLリンク抽出部 240: 診断結果転送部
250: 脆弱性データベース 260: 脆弱性解決リンク部
300: 対象システム 310: ウェブページ
320: DBスサーバー
210: 脆弱性スキャナ 220: ウェブページ分析部
230: URLリンク抽出部 240: 診断結果転送部
250: 脆弱性データベース 260: 脆弱性解決リンク部
300: 対象システム 310: ウェブページ
320: DBスサーバー
Claims (6)
- ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステムにおいて、
ユーザが、ユーザ端末から、最初のユーザが管理するウェブサービスのURL若しくは開始ページを入力または選択して、脆弱性判別システムにより診断する機能を有し、前記脆弱性判別システムから、脆弱性の結果情報と、悪性コードの確認された外部リンクの問題点に関する解決情報と、統計情報と、を伝送されるユーザ端末と、
前記ユーザ端末から、ウェブサービスのURL若しくは開始ページを入力され、URLリンクを抽出し、ウェブページを走査して対象システムに伝送した後、対象システムから発見した問題を転送されてウェブページを分析し、脆弱性データベースに格納した後、診断結果情報と解決情報をユーザ端末に伝送する脆弱性判別システムと、
前記脆弱性判別システムから伝送されたウェブページを読み込んで診断し、脆弱性とリンクの問題を発見して脆弱性判別システムに伝送する対象システムと、を備えることを特徴とするウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム。 - 前記脆弱性判別システムは、ユーザ端末から、ウェブサービスのURL若しくは開始ページを入力されて走査して対象システムに伝送する脆弱性スキャナと、
前記ユーザ端末からウェブサービスのURLを入力され、URLリンクを抽出するURLリンク抽出部と、
前記脆弱性スキャナから対象システムへとウェブページを伝送した後、対象システムから診断結果を受け取って分析するウェブページ分析部と、
前記ウェブページ分析部において分析された結果における脆弱性問題を格納する脆弱性データベースと、
前記脆弱性問題に関する解決情報を有していて、問題が発生すると、適切に脆弱性を解決する脆弱性解決リンク部と、
前記対象システムから伝送された脆弱性問題と解決情報をユーザ端末に伝送する診断結果転送部と、を備えることを特徴とする請求項1に記載のウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム。 - 前記URLリンク抽出部におけるリンク確認は、Htmlにおいて用いるurlリンク部分、すなわち、src、img、href、li、option、formなどの因子値を調べてリンクを確認するか、あるいは、ウェブページ内のソースにおいてウェブサービスが用いる拡張子を有している文字列に対するアドレス、http、httpsを文字をもって判別して確認するか、あるいは、「、」、引用符号で囲まれている文字の値を全て読み込んだ後、ウェブページのアドレス形式を有している文字列の値を読み込んでアドレスの有無を判別して確認することを特徴とする請求項2に記載のウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム。
- 前記URLリンク抽出部におけるリンクの確認方式は、ウェブページではない別個のファイルとして見なされ得るxmlファイル、jsファイル、swf(フラッシュ)ファイルにも同様に適用できることを特徴とする請求項2に記載のウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム。
- 前記ウェブページ分析部におけるフラッシュファイルの分析は、ファイルをリアルタイムにてダウンロードしてウェブページ分析部に接続し、ウェブページ分析部においては、フラッシュファイルの有無を確認した後、内部のファイル構造を分析して、アクションスクリプトで作成された部分を見出し、当該部分に存在する外部リンク及び内部リンクを見出して次に訪問すべきアドレスに格納することを特徴とする請求項2に記載のウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム。
- 前記対象システムは、ウェブページに存在する脆弱性を速やかに診断するために、リアルタイムにて分析可能な脆弱性に基本的な問題が存在するか否かを確認するための因子区切り部と、
各因子に追加の文字を入力して診断対象となるウェブサービスに転送する転送部と、
ウェブサービスの戻された結果を判別する判別部と、を備えることを特徴とする請求項1に記載のウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2010-0015057 | 2010-02-19 | ||
KR20100015057A KR101092024B1 (ko) | 2010-02-19 | 2010-02-19 | 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템 |
PCT/KR2011/000361 WO2011102605A2 (ko) | 2010-02-19 | 2011-01-18 | 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013520719A true JP2013520719A (ja) | 2013-06-06 |
Family
ID=44483437
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012553807A Pending JP2013520719A (ja) | 2010-02-19 | 2011-01-18 | ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20120324582A1 (ja) |
JP (1) | JP2013520719A (ja) |
KR (1) | KR101092024B1 (ja) |
WO (1) | WO2011102605A2 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013045400A (ja) * | 2011-08-26 | 2013-03-04 | Toshiba Corp | 情報処理装置、情報処理方法、およびプログラム |
KR20160089995A (ko) * | 2015-01-21 | 2016-07-29 | 한국인터넷진흥원 | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 |
JP6218058B1 (ja) * | 2017-08-03 | 2017-10-25 | 株式会社DataSign | 利用サービス管理装置 |
JP6218055B1 (ja) * | 2017-04-27 | 2017-10-25 | 株式会社DataSign | 利用サービス管理装置 |
JP6218054B1 (ja) * | 2017-04-27 | 2017-10-25 | 株式会社DataSign | 利用サービス特定装置 |
JP2018508068A (ja) * | 2015-02-07 | 2018-03-22 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ユーザ装置のセキュリティ情報を提供する方法及び装置 |
US11363053B2 (en) | 2017-04-27 | 2022-06-14 | Datasign Inc. | Device for managing utilized service |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101305755B1 (ko) * | 2012-02-20 | 2013-09-17 | 한양대학교 산학협력단 | 주소에 기반하여 스크립트 실행을 필터링하는 장치 및 방법 |
KR101372906B1 (ko) * | 2012-06-26 | 2014-03-25 | 주식회사 시큐아이 | 악성코드를 차단하기 위한 방법 및 시스템 |
US9898445B2 (en) * | 2012-08-16 | 2018-02-20 | Qualcomm Incorporated | Resource prefetching via sandboxed execution |
US20140053064A1 (en) | 2012-08-16 | 2014-02-20 | Qualcomm Incorporated | Predicting the usage of document resources |
KR101428725B1 (ko) * | 2012-11-06 | 2014-08-12 | 한국인터넷진흥원 | 하위 웹주소 점검을 통한 악성코드 은닉 사이트 탐지 시스템 및 방법 |
KR101428727B1 (ko) * | 2012-11-09 | 2014-08-12 | 한국인터넷진흥원 | 악성코드 최종 유포지 및 경유지 탐지 시스템 및 방법 |
US8990949B2 (en) * | 2013-02-15 | 2015-03-24 | International Business Machines Corporation | Automatic correction of security downgraders |
US9398041B2 (en) | 2013-03-12 | 2016-07-19 | International Business Machines Corporation | Identifying stored vulnerabilities in a web service |
KR101473655B1 (ko) * | 2013-04-15 | 2014-12-17 | 주식회사 안랩 | 메시지 위험성 검사 방법 및 장치 |
CN104253714B (zh) * | 2013-06-27 | 2019-02-15 | 腾讯科技(深圳)有限公司 | 监控方法、系统、浏览器及服务器 |
JP6098413B2 (ja) | 2013-07-23 | 2017-03-22 | 富士通株式会社 | 分類パターン作成方法、分類パターン作成装置、および分類パターン作成プログラム |
KR101540672B1 (ko) * | 2014-01-13 | 2015-07-31 | 주식회사 엔피코어 | 이동 단말기의 해킹 방지 시스템 및 그 방법 |
US9953163B2 (en) | 2014-02-23 | 2018-04-24 | Cyphort Inc. | System and method for detection of malicious hypertext transfer protocol chains |
CN104980309B (zh) * | 2014-04-11 | 2018-04-20 | 北京奇安信科技有限公司 | 网站安全检测方法及装置 |
CN104008336B (zh) * | 2014-05-07 | 2017-04-12 | 中国科学院信息工程研究所 | 一种ShellCode检测方法和装置 |
EP3304402A1 (en) * | 2015-05-28 | 2018-04-11 | Entit Software LLC | Security vulnerability detection |
CN105160256A (zh) * | 2015-08-10 | 2015-12-16 | 上海斐讯数据通信技术有限公司 | 一种检测web页面漏洞的方法及系统 |
US10243957B1 (en) | 2015-08-27 | 2019-03-26 | Amazon Technologies, Inc. | Preventing leakage of cookie data |
US11165820B2 (en) * | 2015-10-13 | 2021-11-02 | Check Point Software Technologies Ltd. | Web injection protection method and system |
CN110417932B (zh) * | 2019-07-30 | 2020-08-04 | 睿哲科技股份有限公司 | 基于IPv6外链资源升级装置、电子设备及计算机可读介质 |
CN111143225B (zh) * | 2019-12-26 | 2024-05-14 | 深圳市元征科技股份有限公司 | 一种汽车诊断软件的漏洞处理方法和相关产品 |
CN111447224A (zh) * | 2020-03-26 | 2020-07-24 | 江苏亨通工控安全研究院有限公司 | web漏洞扫描方法及漏洞扫描器 |
CN111523123A (zh) * | 2020-04-26 | 2020-08-11 | 北京信息科技大学 | 一种网站漏洞智能检测方法 |
KR20220157565A (ko) | 2021-05-21 | 2022-11-29 | 삼성에스디에스 주식회사 | 웹 스캐닝 공격 탐지 장치 및 방법 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002229946A (ja) * | 2001-01-30 | 2002-08-16 | Yokogawa Electric Corp | 脆弱性検査システム |
JP2007004685A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | 通信情報監視装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4052007B2 (ja) * | 2002-05-17 | 2008-02-27 | 日本電気株式会社 | Webサイト安全度認証システム、方法及びプログラム |
US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
US7831995B2 (en) * | 2004-10-29 | 2010-11-09 | CORE, SDI, Inc. | Establishing and enforcing security and privacy policies in web-based applications |
KR20060062882A (ko) * | 2004-12-06 | 2006-06-12 | 한국전자통신연구원 | 웹 응용프로그램 취약점 분석 지원 방법 |
US8156559B2 (en) * | 2006-11-30 | 2012-04-10 | Microsoft Corporation | Systematic approach to uncover GUI logic flaws |
KR20090019573A (ko) * | 2007-08-21 | 2009-02-25 | 한국전자통신연구원 | 웹서버 취약점 점검 장치 및 방법 |
KR20090038683A (ko) * | 2007-10-16 | 2009-04-21 | 한국전자통신연구원 | 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법 |
KR100961149B1 (ko) * | 2008-04-22 | 2010-06-08 | 주식회사 안철수연구소 | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 |
US8087080B1 (en) * | 2008-10-17 | 2011-12-27 | Trend Micro Incorporated | Inspection of downloadable contents for malicious codes |
RU2446459C1 (ru) * | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
US8752174B2 (en) * | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
-
2010
- 2010-02-19 KR KR20100015057A patent/KR101092024B1/ko not_active IP Right Cessation
-
2011
- 2011-01-18 US US13/512,044 patent/US20120324582A1/en not_active Abandoned
- 2011-01-18 WO PCT/KR2011/000361 patent/WO2011102605A2/ko active Application Filing
- 2011-01-18 JP JP2012553807A patent/JP2013520719A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002229946A (ja) * | 2001-01-30 | 2002-08-16 | Yokogawa Electric Corp | 脆弱性検査システム |
JP2007004685A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | 通信情報監視装置 |
Non-Patent Citations (6)
Title |
---|
CSND200701484003; 手嶋透: 'プロダクト賢者の選択 Webアプリ脆弱性検査ツール セキュリティのプロでなくても脆弱性をあぶり出せる' 日経SYSTEMS 2008年1月号, 20071226, p.92-97, 日経BP社 * |
CSND200800471011; 岩井博樹: 'セキュリティ・ウォッチ Flash Player狙ったゼロデイ攻撃発覚 実は一連のSQLインジェクショ' 日経コミュニケーション 2008年6月号, 20080615, p.74-75, 日経BP社 * |
CSNH201000092007; 今川大輔、藤井誠司、河内清人、佐伯保晴: 'SaaS型セキュリティ診断サービス' 三菱電機技報 Vol.84, No.7, 20100725, p.31-34, 三菱電機エンジニアリング株式会社 * |
JPN6014037825; 今川大輔、藤井誠司、河内清人、佐伯保晴: 'SaaS型セキュリティ診断サービス' 三菱電機技報 Vol.84, No.7, 20100725, p.31-34, 三菱電機エンジニアリング株式会社 * |
JPN6014037826; 手嶋透: 'プロダクト賢者の選択 Webアプリ脆弱性検査ツール セキュリティのプロでなくても脆弱性をあぶり出せる' 日経SYSTEMS 2008年1月号, 20071226, p.92-97, 日経BP社 * |
JPN6014037828; 岩井博樹: 'セキュリティ・ウォッチ Flash Player狙ったゼロデイ攻撃発覚 実は一連のSQLインジェクショ' 日経コミュニケーション 2008年6月号, 20080615, p.74-75, 日経BP社 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013045400A (ja) * | 2011-08-26 | 2013-03-04 | Toshiba Corp | 情報処理装置、情報処理方法、およびプログラム |
KR20160089995A (ko) * | 2015-01-21 | 2016-07-29 | 한국인터넷진흥원 | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 |
KR101650316B1 (ko) | 2015-01-21 | 2016-08-23 | 한국인터넷진흥원 | 분산 병렬 처리 기반의 html5 문서 수집 및 분석 장치 및 방법 |
JP2018508068A (ja) * | 2015-02-07 | 2018-03-22 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ユーザ装置のセキュリティ情報を提供する方法及び装置 |
JP6218055B1 (ja) * | 2017-04-27 | 2017-10-25 | 株式会社DataSign | 利用サービス管理装置 |
JP6218054B1 (ja) * | 2017-04-27 | 2017-10-25 | 株式会社DataSign | 利用サービス特定装置 |
US11363053B2 (en) | 2017-04-27 | 2022-06-14 | Datasign Inc. | Device for managing utilized service |
JP6218058B1 (ja) * | 2017-08-03 | 2017-10-25 | 株式会社DataSign | 利用サービス管理装置 |
Also Published As
Publication number | Publication date |
---|---|
KR101092024B1 (ko) | 2011-12-12 |
KR20110095534A (ko) | 2011-08-25 |
WO2011102605A3 (ko) | 2011-11-03 |
WO2011102605A2 (ko) | 2011-08-25 |
US20120324582A1 (en) | 2012-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2013520719A (ja) | ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム | |
US20210382949A1 (en) | Systems and methods for web content inspection | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
US9268945B2 (en) | Detection of vulnerabilities in computer systems | |
Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
US8800042B2 (en) | Secure web application development and execution environment | |
JP6438011B2 (ja) | 不正検知ネットワークシステム及び、不正検知方法 | |
US9584543B2 (en) | Method and system for web integrity validator | |
CA2595758C (en) | System for detecting vulnerabilities in web applications using client-side application interfaces | |
US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
Stock et al. | From facepalm to brain bender: Exploring client-side cross-site scripting | |
US20060259973A1 (en) | Secure web application development environment | |
CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
CN101340434A (zh) | 网站恶意内容检测与认证方法及系统 | |
KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
CN108028843A (zh) | 被动式web应用防火墙 | |
CN107231364A (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
CN113868669A (zh) | 一种漏洞检测方法及系统 | |
WO2020022456A1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
Duraisamy et al. | A server side solution for protection of web applications from cross-site scripting attacks | |
CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
CN113886837A (zh) | 一种漏洞检测工具可信度验证方法和系统 | |
JP2020135693A (ja) | 送信制御方法、送信制御プログラム、および端末 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131203 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140909 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150224 |