JP4298622B2 - 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム - Google Patents
不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム Download PDFInfo
- Publication number
- JP4298622B2 JP4298622B2 JP2004285163A JP2004285163A JP4298622B2 JP 4298622 B2 JP4298622 B2 JP 4298622B2 JP 2004285163 A JP2004285163 A JP 2004285163A JP 2004285163 A JP2004285163 A JP 2004285163A JP 4298622 B2 JP4298622 B2 JP 4298622B2
- Authority
- JP
- Japan
- Prior art keywords
- content data
- data
- client terminal
- web server
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
(不正アクセス検出システム)
本発明の実施の形態における不正アクセス検出システム100は、図1に示すように、ユーザ側のクライアント端末1、クライアント端末1が複数接続可能な内部ネットワーク2、不正アクセス検出装置3、及び外部から内部ネットワーク2に対する通信の監視を行うファイアウォール4等から構成される。尚、不正アクセス検出システム100はインターネット5を介して外部と接続可能になっている。インターネット5には脆弱性をもつ脆弱性保有Webサーバ6と、正規のWebサーバと偽ってクライアント端末1に脆弱性保有Webサーバ6にアクセスを実行させてXSS攻撃を行う悪意のWebサーバ7等が接続されている。
不正アクセス検出装置3は、図2に示すように、入力部11、出力部、入出力インタフェース13、通信制御部14、主記憶部15、セントラルプロセッシングユニット(以下、「CPU」と記載)16、一時記憶部17及び通過リスト記憶部18等より構成される。CPU16は、URL解析部16a、代理要求部16b、HTML解析部16c、パケット処理部16d、ユーザ通知部16e及び通過リスト管理部16f等を備える。CPU16がこれらのモジュールを実行することにより不正アクセス検出プログラムは実行される。
以下、不正アクセス検出装置3の動作について図8のフローチャートを参照して説明する。尚、以下の説明の前提として、クライアント端末1が、悪意のWebサーバ7より誘致の電子メール等を受信し、その電子メールに記載のURLにアクセスを行おうとしているものとする。誘致の電子メールのページは、クライアント端末1に表示するブラウザのCGI等に渡される引数によって動的に生成される。生成されたページは、ユーザに何らかのユーザ情報を入力させて送信させ、XSS攻撃の為の処理を図1の悪意のWebサーバ7や脆弱性保有Webサーバ6上にて行うことができるように構成されているものとする。
上記の説明において、図1の不正アクセス検出装置3は、ファイアウォール4と内部ネットワーク2の間に存在しているが、不正アクセス検出装置3の位置はこの場所に限られず、例えば、クライアント端末1の内部に同機能をインストールし、ブラウザから見たWebプロキシサーバとして動作させても構わない。
又、不正アクセス検出装置3はプロキシサーバとしてではなく、ブリッジ装置として動作することも可能である。この場合、クライアント端末1や、送信するWebサーバのIPアドレスを変える必要が無くなる。ブリッジ装置として動作する場合の不正アクセス検出装置3a及び関連装置の動作は図9に示すようになる。尚、不正アクセス検出装置3aとしての大まかな動作は、上述した図8の実施の形態の動作と同じである為、詳細な説明は割愛する。
2…内部ネットワーク
3、3a…不正アクセス検出装置
4…ファイアウォール
5…インターネット
6…脆弱性保有Webサーバ
7…悪意のWebサーバ
11…入力部
12…出力部
13…入出力インタフェース
14…通信制御部
15…主記憶部
16…CPU
16a…URL解析部
16b…代理要求部
16c…HTML解析部
16d…パケット処理部
16e…ユーザ通知部
16f…通過リスト処理部
17…一時記憶部
18…通過リスト記憶部
100…不正アクセス検出システム
Claims (6)
- Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介してデータ送信要求を行う際、前記WebサーバのURLを解析し、前記クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するURL解析部と、
前記有害情報が検出された前記URL宛てに、前記データ送信要求を送信する第1のアクセス及び前記有害情報を無害化処理した無害化データ送信要求を送信する第2のアクセスを行う代理要求部と、
前記第1のアクセスの結果前記Webサーバより取得した第1のコンテンツデータと、前記第2のアクセスの結果前記Webサーバより取得した第2のコンテンツデータを格納する一時記憶部と、
前記一時記憶部から前記第1のコンテンツデータ及び前記第2のコンテンツデータを取得して、前記第1のコンテンツデータ及び前記第2のコンテンツデータのHTML構文を解析するHTML解析部と、
構文解析の結果、前記第1のコンテンツデータ及び前記第2のコンテンツデータのHTML構造が異なる場合、前記クライアント端末に前記第1のコンテンツデータ及び前記第2のコンテンツデータを送信せず、前記構文解析の結果を通知するユーザ通知部
とを備えることを特徴とする不正アクセス検出装置。 - 前記ユーザ通知部による前記構文解析の結果通知の回答として前記クライアント端末より受信する、通過を許可するデータ若しくは通過を許可しないデータのアドレスのリストを記憶する通過リスト記憶部と、
前記通過リスト記憶部内の前記リストを参照して、前記クライアント端末に対する通信を許可するデータを判断する通過リスト管理部
とを更に備えることを特徴とする請求項1に記載の不正アクセス検出装置。 - Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介してデータ送信要求を行う際、URL解析部が前記WebサーバのURLを解析し、前記クライアント端末に対する攻撃を起因する可能性のある有害情報を検出するステップと、
前記有害情報が検出されたURL宛てに代理要求部が前記データ送信要求を送信する第1のアクセスを行い、前記第1のアクセスの結果、前記Webサーバより取得した第1のコンテンツデータを一時記憶部に格納するステップと、
前記代理要求部が前記有害情報を無害化した無害化データ送信要求を作成し、作成された前記無害化データ送信要求を前記有害情報が検出されたURL宛てに送信する第2のアクセスを行い、前記第2のアクセスの結果、前記Webサーバより取得した第2のコンテンツデータを一時記憶部に格納するステップと、
前記一時記憶部から前記第1のコンテンツデータ及び前記第2のコンテンツデータを取得し、HTML解析部が前記第1のコンテンツデータ及び前記第2のコンテンツデータのHTML構文を解析するステップと、
構文解析の結果、前記第1のコンテンツデータ及び前記第2のコンテンツデータのHTML構造が異なる場合、ユーザ通知部が前記クライアント端末に前記第1のコンテンツデータ及び前記第2のコンテンツデータを送信せず、前記構文解析の結果を通知するステップ
とを備えることを特徴とする不正アクセス検出方法。 - 前記構文解析の結果通知の回答として、通過を許可するデータ若しくは通過を許可しないデータのアドレスのリストを前記クライアント端末より取得し、通過リスト記憶部に格納するステップと、
前記通過リスト記憶部を参照して、通過リスト管理部が前記クライアント端末に対して通信を許可するデータを判断するステップ
とを更に備えることを特徴とする請求項3に記載の不正アクセス検出方法。 - Webサーバに対し、自ネットワーク内のクライアント端末が外部ネットワークを介して通信を行う際、前記通信を媒体とする攻撃を防御するためのコンピュータに、
前記クライアント端末が前記Webサーバに対してデータ送信要求を行う際、URL解析部が前記WebサーバのURLを解析し、前記攻撃を起因する可能性のある有害情報を検出する命令と、
前記有害情報が検出されたURL宛てに代理要求部が前記データ送信要求を送信する第1のアクセスを行い、前記第1のアクセスの結果、前記Webサーバより取得した第1のコンテンツデータを一時記憶部に格納する命令と、
前記代理要求部が前記有害情報を無害化した無害化データ送信要求を作成し、作成された前記無害化データ送信要求を前記有害情報が検出されたURL宛てに送信する第2のアクセスを行い、前記第2のアクセスの結果、前記Webサーバより取得した第2のコンテンツデータを一時記憶部に格納する命令と、
前記一時記憶部から前記第1のコンテンツデータ及び前記第2のコンテンツデータを取得し、HTML解析部が前記第1のコンテンツデータ及び前記第2のコンテンツデータのHTML構文を解析する命令と、
構文解析の結果、前記第1のコンテンツデータ及び前記第2のコンテンツデータのHTML構造が異なる場合、ユーザ通知部が前記クライアント端末に前記第1のコンテンツデータ及び前記第2のコンテンツデータを送信せず、前記構文解析の結果を通知する命令
とを実行させることを特徴とする不正アクセス検出プログラム。 - 前記構文解析の結果通知の回答として、通過を許可するデータ及び通過を許可しないデータのアドレスのリストを前記クライアント端末より取得し、通過リスト記憶部に格納する命令と、
前記通過リスト記憶部を参照して、通過リスト管理部が前記クライアント端末に対して通信を許可するデータを判断する命令
とを前記コンピュータに更に実行させることを特徴とする請求項5に記載の不正アクセス検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004285163A JP4298622B2 (ja) | 2004-09-29 | 2004-09-29 | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004285163A JP4298622B2 (ja) | 2004-09-29 | 2004-09-29 | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006099460A JP2006099460A (ja) | 2006-04-13 |
JP4298622B2 true JP4298622B2 (ja) | 2009-07-22 |
Family
ID=36239201
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004285163A Expired - Fee Related JP4298622B2 (ja) | 2004-09-29 | 2004-09-29 | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4298622B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090119769A1 (en) * | 2007-11-05 | 2009-05-07 | Microsoft Corporation | Cross-site scripting filter |
KR101001132B1 (ko) * | 2008-02-22 | 2010-12-15 | 엔에이치엔비즈니스플랫폼 주식회사 | 웹 어플리케이션의 취약성 판단 방법 및 시스템 |
JP5003557B2 (ja) * | 2008-03-28 | 2012-08-15 | 富士通株式会社 | 情報処理装置、情報処理方法、及び、情報処理プログラム |
CN101964025B (zh) * | 2009-07-23 | 2016-02-03 | 北京神州绿盟信息安全科技股份有限公司 | Xss检测方法和设备 |
US9342274B2 (en) | 2011-05-19 | 2016-05-17 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
US8881101B2 (en) | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
US9430452B2 (en) | 2013-06-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
-
2004
- 2004-09-29 JP JP2004285163A patent/JP4298622B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006099460A (ja) | 2006-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5992488B2 (ja) | クロスサイトスクリプティングフィルタ | |
US8464318B1 (en) | System and method for protecting web clients and web-based applications | |
US8161538B2 (en) | Stateful application firewall | |
US7278019B2 (en) | Method of hindering the propagation of a computer virus | |
JP4405248B2 (ja) | 通信中継装置、通信中継方法及びプログラム | |
EP1904988B1 (en) | Immunizing html browsers and extensions from known vulnerabilities | |
JP5254656B2 (ja) | ドライブバイ・ファーミングに対するリファラーチェックを介したクライアント側の保護 | |
Almgren et al. | A Lightweight Tool for Detecting Web Server Attacks. | |
US8578481B2 (en) | Method and system for determining a probability of entry of a counterfeit domain in a browser | |
US7302480B2 (en) | Monitoring the flow of a data stream | |
KR100732689B1 (ko) | 웹 보안방법 및 그 장치 | |
US9009821B2 (en) | Injection attack mitigation using context sensitive encoding of injected input | |
JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
WO2009111224A1 (en) | Identification of and countermeasures against forged websites | |
WO2014078441A2 (en) | Cross-site request forgery protection | |
JP2008116998A (ja) | 端末装置管理システム、データ中継装置、ネットワーク間接続装置、および端末装置の検疫方法 | |
JP4298622B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム | |
US20140075553A1 (en) | Domain name system rebinding attack protection | |
JP2011188071A (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
US8370529B1 (en) | Trusted zone protection | |
JP5267893B2 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
Ray | Countering cross-site scripting in web-based applications | |
JP2011258018A (ja) | セキュリティサーバシステム | |
JP2011013974A (ja) | ウェブサイト評価装置およびプログラム | |
Sinha et al. | Internet & Web Algorithms Final Project |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090317 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090415 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120424 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130424 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140424 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |