JP5640752B2 - 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム - Google Patents
攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム Download PDFInfo
- Publication number
- JP5640752B2 JP5640752B2 JP2011003477A JP2011003477A JP5640752B2 JP 5640752 B2 JP5640752 B2 JP 5640752B2 JP 2011003477 A JP2011003477 A JP 2011003477A JP 2011003477 A JP2011003477 A JP 2011003477A JP 5640752 B2 JP5640752 B2 JP 5640752B2
- Authority
- JP
- Japan
- Prior art keywords
- browser
- element data
- attack
- server
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
ブラウザBも、ブラウザAと同様、通常処理部42と、要素データ抽出部44と、送信部としての要素データ送信部46と、受信部としての要素データ受信部48と、設定部としての要求可能状態設定部50と、しての機能を有する。これらのうち、要素データ抽出部44及び要素データ送信部46は、ブラウザBが、攻撃者側(第2のブラウザ)となる場合に動作する。一方、要素データ受信部48及び要求可能状態設定部50は、ブラウザBが被害者側(第1のブラウザ)となる場合に動作する。
本実施形態では、ブラウザAが、第2のブラウザとしての攻撃者側ブラウザであるものとし、ブラウザBが、第1のブラウザとしての被害者側ブラウザであるものとする。すなわち、本処理では、図3の要素データ受信部38、要求可能状態設定部40、要素データ抽出部44、及び要素データ送信部46は、機能しないものとする。
次に、セッションフィクセーション攻撃に関するテスト方法について説明する。このセッションフィクセーション攻撃に関するテストの場合、前述したCSRF攻撃の場合と異なり、要素データはクッキーの情報の少なくとも一部となる。また、図4(a)のステップS12と、図4(b)のステップS24の具体的処理内容が、CSRF攻撃の場合と異なる。
(付記1) サーバへの接続が可能な第1のブラウザが前記サーバに対するアクセスを行った際に当該第1のブラウザが被害を被る可能性のある状態にするための情報である要素データを、前記サーバへの接続が可能な第2のブラウザが取得する取得工程と、前記取得工程で前記第2のブラウザが取得した前記要素データを前記第2のブラウザから前記第1のブラウザに送信する送信工程と、前記送信工程で送信された要素データを前記第1のブラウザで受信する受信工程と、前記第1のブラウザの状態に、前記受信工程で受信された前記要素データを反映させて、当該第1のブラウザの状態を、前記サーバにアクセスした場合に被害を被る可能性のある状態に設定する設定工程と、を含む攻撃模倣テスト方法。
(付記2) 前記要素データは、フォームであり、前記攻撃は、クロスサイトリクエストフォージェリーであることを特徴とする付記1に記載の攻撃模倣テスト方法。
(付記3) 前記要素データは、クッキーであり、前記攻撃は、セッションフィクセーションであることを特徴とする付記1に記載の攻撃模倣テスト方法。
(付記4) 前記送信工程及び前記受信工程では、前記要素データを、IPネットワークを用いた受け渡し、クリップボードを用いた受け渡し、ファイルを用いた受け渡し、のいずれかにより、前記第2のブラウザと前記第1のブラウザとの間の送受信を行うことを特徴とする付記1〜3のいずれか一項に記載の攻撃模倣テスト方法。
(付記5) サーバへの接続が可能な第1のブラウザと、前記第1のブラウザが前記サーバに対するアクセスを行った際に、当該第1のブラウザが被害を被る可能性のある状態にするための情報である要素データを取得する、前記サーバへの接続が可能な第2のブラウザと、を備え、前記第2のブラウザは、取得した前記要素データを前記第1のブラウザに送信する送信部を有し、前記第1のブラウザは、前記要素データを受信する受信部と、当該第1のブラウザの状態に前記受信部で受信した前記要素データを反映させて、前記第1のブラウザの状態を前記サーバにアクセスした場合に被害を被る可能性のある状態に設定する設定部と、を有することを特徴とする攻撃模倣テスト装置。
(付記6) 前記要素データは、フォームであり、前記攻撃は、クロスサイトリクエストフォージェリーであることを特徴とする付記5に記載の攻撃模倣テスト装置。
(付記7) 前記要素データは、クッキーであり、前記攻撃は、セッションフィクセーションであることを特徴とする付記5に記載の攻撃模倣テスト装置。
(付記8) 前記送信部及び前記受信部では、前記要素データを、IPネットワークを用いた受け渡し、クリップボードを用いた受け渡し、ファイルを用いた受け渡し、のいずれかにより、前記第2のブラウザと前記第1のブラウザとの間の送受信を行うことを特徴とする付記5〜7のいずれか一項に記載の攻撃模倣テスト装置。
(付記9) サーバへの接続が可能な第1のブラウザが前記サーバに対するアクセスを行った際に、当該第1のブラウザが被害を被る可能性のある状態にするための情報である要素データを、前記サーバへの接続が可能な第2のブラウザが取得し、前記取得する処理で前記第2のブラウザが取得した前記要素データを前記第2のブラウザから前記第1のブラウザに送信し、前記送信する処理で送信された前記要素データを前記第1のブラウザで受信し、前記第1のブラウザの状態に、前記受信する処理で受信された前記要素データを反映させて、当該第1のブラウザの状態を、前記サーバにアクセスした場合に被害を被る可能性のある状態に設定する処理を、コンピュータに実行させることを特徴とする攻撃模倣テストプログラム。
(付記10) 前記要素データは、フォームであり、前記攻撃は、クロスサイトリクエストフォージェリーであることを特徴とする付記9に記載の攻撃模倣テストプログラム。
(付記11) 前記要素データは、クッキーであり、前記攻撃は、セッションフィクセーションであることを特徴とする付記9に記載の攻撃模倣テストプログラム。
(付記12) 前記送信する処理では、前記要素データを、IPネットワークを用いた受け渡し、クリップボードを用いた受け渡し、ファイルを用いた受け渡し、のいずれかにより、前記第2のブラウザから前記第1のブラウザへ送信することを特徴とする付記9〜11のいずれか一項に記載の攻撃模倣テストプログラム。
12 ネットワーク(IPネットワーク)
14 サーバ
36、46 要素データ送信部(送信部)
38,48 要素データ受信部(受信部)
40,50 要求可能状態設定部(設定部)
Claims (6)
- サーバへの接続が可能な第1のブラウザが前記サーバに対するアクセスを行った際に当該第1のブラウザが被害を被る可能性のある状態にするための情報である要素データを、前記サーバへの接続が可能な第2のブラウザが表示中のHTMLページから取得する取得工程と、
前記取得工程で前記第2のブラウザが取得した前記要素データを、前記第2のブラウザが前記第1のブラウザに送信する送信工程と、
前記送信工程で送信された要素データを前記第1のブラウザが受信する受信工程と、
前記第1のブラウザが、前記第1のブラウザの状態に、前記受信工程で受信された前記要素データを反映させて、当該第1のブラウザの状態を、前記サーバにアクセスした場合に被害を被る可能性のある状態に設定する設定工程と、
を含む攻撃模倣テスト方法。 - 前記要素データは、フォームであり、
前記第1のブラウザが被る被害は、クロスサイトリクエストフォージェリー攻撃による被害であることを特徴とする請求項1に記載の攻撃模倣テスト方法。 - 前記要素データは、クッキーであり、
前記第1のブラウザが被る被害は、セッションフィクセーション攻撃による被害であることを特徴とする請求項1に記載の攻撃模倣テスト方法。 - 前記送信工程及び前記受信工程では、前記要素データを、IPネットワークを用いた受け渡し、クリップボードを用いた受け渡し、ファイルを用いた受け渡し、のいずれかにより、前記第2のブラウザと前記第1のブラウザとの間の送受信を行うことを特徴とする請求項1〜3のいずれか一項に記載の攻撃模倣テスト方法。
- サーバへの接続が可能な第1のブラウザと、
前記第1のブラウザが前記サーバに対するアクセスを行った際に、当該第1のブラウザが被害を被る可能性のある状態にするための情報である要素データを表示中のHTMLページから取得する、前記サーバへの接続が可能な第2のブラウザと、を備え、
前記第2のブラウザは、取得した前記要素データを前記第1のブラウザに送信する送信部を有し、
前記第1のブラウザは、前記要素データを受信する受信部と、当該第1のブラウザの状態に前記受信部で受信した前記要素データを反映させて、前記第1のブラウザの状態を前記サーバにアクセスした場合に被害を被る可能性のある状態に設定する設定部と、を有することを特徴とする攻撃模倣テスト装置。 - サーバへの接続が可能な第1のブラウザが前記サーバに対するアクセスを行った際に、当該第1のブラウザが被害を被る可能性のある状態にするための情報である要素データを、前記サーバへの接続が可能な第2のブラウザが表示中のHTMLページから取得し、
前記取得する処理で前記第2のブラウザが取得した前記要素データを前記第2のブラウザから前記第1のブラウザに送信し、
前記送信する処理で送信された前記要素データを前記第1のブラウザで受信し、
前記第1のブラウザの状態に、前記受信する処理で受信された前記要素データを反映させて、当該第1のブラウザの状態を、前記サーバにアクセスした場合に被害を被る可能性のある状態に設定する処理を、コンピュータに実行させることを特徴とする攻撃模倣テストプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011003477A JP5640752B2 (ja) | 2011-01-11 | 2011-01-11 | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011003477A JP5640752B2 (ja) | 2011-01-11 | 2011-01-11 | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012146100A JP2012146100A (ja) | 2012-08-02 |
JP5640752B2 true JP5640752B2 (ja) | 2014-12-17 |
Family
ID=46789606
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011003477A Expired - Fee Related JP5640752B2 (ja) | 2011-01-11 | 2011-01-11 | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5640752B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5326035B1 (ja) * | 2012-10-18 | 2013-10-30 | 株式会社 ディー・エヌ・エー | サーバ装置 |
JP5662507B2 (ja) * | 2013-03-28 | 2015-01-28 | 株式会社 ディー・エヌ・エー | 認証方法、認証システム、および、サービス提供サーバ |
CN112800311A (zh) * | 2021-02-05 | 2021-05-14 | 厦门市美亚柏科信息股份有限公司 | 一种浏览器页面数据采集方法、终端设备及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
JP5082555B2 (ja) * | 2007-04-11 | 2012-11-28 | 富士通株式会社 | セキュリティ検査用モデル生成装置,セキュリティ検査用モデル検査装置,およびセキュリティ検査用モデル生成プログラム |
US20090019525A1 (en) * | 2007-07-13 | 2009-01-15 | Dachuan Yu | Domain-specific language abstractions for secure server-side scripting |
JP5463717B2 (ja) * | 2009-04-16 | 2014-04-09 | 富士通株式会社 | アプリケーションテスト生成プログラム、アプリケーションテスト生成方法及びアプリケーションテスト装置 |
-
2011
- 2011-01-11 JP JP2011003477A patent/JP5640752B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012146100A (ja) | 2012-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9842093B2 (en) | Method and apparatus for intelligent capture of document object model events | |
US9032085B1 (en) | Identifying use of software applications | |
CN102546576B (zh) | 一种网页挂马检测和防护方法、系统及相应代码提取方法 | |
EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
US8898796B2 (en) | Managing network data | |
EP3097509B1 (en) | Intercepting and supervising calls to transformed operations and objects | |
US7343559B1 (en) | Computer-readable recorded medium on which image file is recorded, device for producing the recorded medium, medium on which image file creating program is recorded, device for transmitting image file, device for processing image file, and medium on which image file processing program is recorded | |
Hope et al. | Web security testing cookbook: systematic techniques to find problems fast | |
US8572691B2 (en) | Selecting a web service from a service registry based on audit and compliance qualities | |
JP2009053740A (ja) | 操作ログを記録するためのシステム、方法およびコンピュータ・プログラム | |
CN107016074A (zh) | 一种网页加载方法及装置 | |
US20200210584A1 (en) | Deterministic Reproduction of Client/Server Computer State or Output Sent to One or More Client Computers | |
JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
WO2015029195A1 (ja) | 模擬装置、情報生成装置、模擬方法及び模擬プログラム | |
JP5709448B2 (ja) | アクセス解析装置及びアクセス解析方法及びアクセス解析プログラム | |
EP1696339A2 (en) | System and method for testing data format using targeted variant input | |
JP5640752B2 (ja) | 攻撃模倣テスト方法、攻撃模倣テスト装置及び攻撃模倣テストプログラム | |
US8316103B2 (en) | Method for acquiring long data by GET method | |
WO2019026172A1 (ja) | セキュリティ診断装置およびセキュリティ診断方法 | |
US8127314B2 (en) | Method for using information in another domain, program for using information in another domain, and information transfer program | |
KR100987768B1 (ko) | 대용량 쿠키 처리 방법 및 장치 | |
CN113901482A (zh) | 漏洞检测方法及装置 | |
Rehim | Effective python penetration testing | |
WO2021229696A1 (ja) | 攻撃再現支援装置、攻撃再現支援方法、及びコンピュータ読み取り可能な記録媒体 | |
WO2019220480A1 (ja) | 監視装置、監視方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131007 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140624 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140708 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140908 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140930 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141013 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5640752 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |