JP7235114B2 - 脆弱性検査装置、脆弱性検査方法および脆弱性検査プログラム - Google Patents
脆弱性検査装置、脆弱性検査方法および脆弱性検査プログラム Download PDFInfo
- Publication number
- JP7235114B2 JP7235114B2 JP2021532578A JP2021532578A JP7235114B2 JP 7235114 B2 JP7235114 B2 JP 7235114B2 JP 2021532578 A JP2021532578 A JP 2021532578A JP 2021532578 A JP2021532578 A JP 2021532578A JP 7235114 B2 JP7235114 B2 JP 7235114B2
- Authority
- JP
- Japan
- Prior art keywords
- login
- user
- vulnerability
- related screen
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
図1は、本実施形態の脆弱性検査装置の概略構成を例示する模式図である。図1に例示するように、本実施形態の脆弱性検査装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
次に、図6および図7を参照して、本実施形態に係る脆弱性検査装置10による脆弱性検査処理について説明する。図6および図7は、脆弱性検査処理手順を示すフローチャートである。まず、図6は、検査対象のオンラインサービスの各ログイン関連画面についての画面別脆弱性検査処理手順を示す。図6のフローチャートは、例えば、検査者が開始を指示する操作入力を行ったタイミングで開始される。
上記実施形態に係る脆弱性検査装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、脆弱性検査装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の脆弱性検査処理を実行する脆弱性検査プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の脆弱性検査プログラムを情報処理装置に実行させることにより、情報処理装置を脆弱性検査装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、脆弱性検査装置10の機能を、クラウドサーバに実装してもよい。
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 検査用アカウント情報
14b ログイン関連画面情報
14c ログイン関連画面別検査結果
15 制御部
15a 収集部
15b 取得部
15c 判定部
Claims (6)
- 検査対象のオンラインサービスの画面のうち、HTMLを参照し、ユーザIDが入力事項となっている画面の情報を収集し、ログイン関連画面情報を作成する収集部と、
ユーザIDを発行するアカウント制のサービスにおいて、前記ログイン関連画面情報を参照し、前記検査対象のオンラインサービスのログイン関連画面を選択し、ユーザIDを入力する前記ログイン関連画面に入力されたユーザIDの該サービスへの登録状況を表す種別ごとに、該入力に応答して表示されるシステムメッセージを取得する取得部と、
前記種別に応じて取得された前記システムメッセージを用いて、ユーザの登録状況の漏洩に対する前記ログイン関連画面の脆弱性の有無を判定する判定部と、
を備えることを特徴とする脆弱性検査装置。 - 前記判定部は、異なる前記種別に応じて取得された前記システムメッセージが、異なる場合に前記脆弱性があると判定し、同一である場合に前記脆弱性がないと判定することを特徴とする請求項1に記載の脆弱性検査装置。
- 前記判定部は、前記サービスの全てのログイン関連画面に対して、前記脆弱性がないと判定した場合に、該サービスについて脆弱性がないと判定することを特徴とする請求項2に記載の脆弱性検査装置。
- 前記種別は、登録の有無、または登録履歴の有無のうちいずれかの区分を表すことを特徴とする請求項1に記載の脆弱性検査装置。
- 脆弱性検査装置で実行される脆弱性検査方法であって、
検査対象のオンラインサービスの画面のうち、HTMLを参照し、ユーザIDが入力事項となっている画面の情報を収集し、ログイン関連画面情報を作成する収集工程と、
ユーザIDを発行するアカウント制のサービスにおいて、前記ログイン関連画面情報を参照し、前記検査対象のオンラインサービスのログイン関連画面を選択し、ユーザIDを入力する前記ログイン関連画面に入力されたユーザIDの該サービスへの登録状況を表す種別ごとに、該入力に応答して表示されるシステムメッセージを取得する取得工程と、
前記種別に応じて取得された前記システムメッセージを用いて、ユーザの登録状況の漏洩に対する前記ログイン関連画面の脆弱性の有無を判定する判定工程と、
を含んだことを特徴とする脆弱性検査方法。 - 検査対象のオンラインサービスの画面のうち、HTMLを参照し、ユーザIDが入力事項となっている画面の情報を収集し、ログイン関連画面情報を作成する収集ステップと、
ユーザIDを発行するアカウント制のサービスにおいて、前記ログイン関連画面情報を参照し、前記検査対象のオンラインサービスのログイン関連画面を選択し、ユーザIDを入力する前記ログイン関連画面に入力されたユーザIDの該サービスへの登録状況を表す種別ごとに、該入力に応答して表示されるシステムメッセージを取得する取得ステップと、
前記種別に応じて取得された前記システムメッセージを用いて、ユーザの登録状況の漏洩に対する前記ログイン関連画面の脆弱性の有無を判定する判定ステップと、
をコンピュータに実行させるための脆弱性検査プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/027816 WO2021009820A1 (ja) | 2019-07-12 | 2019-07-12 | 脆弱性検査装置、脆弱性検査方法および脆弱性検査プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021009820A1 JPWO2021009820A1 (ja) | 2021-01-21 |
JP7235114B2 true JP7235114B2 (ja) | 2023-03-08 |
Family
ID=74209725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021532578A Active JP7235114B2 (ja) | 2019-07-12 | 2019-07-12 | 脆弱性検査装置、脆弱性検査方法および脆弱性検査プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220261482A1 (ja) |
JP (1) | JP7235114B2 (ja) |
WO (1) | WO2021009820A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008299540A (ja) | 2007-05-30 | 2008-12-11 | Five Drive Inc | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
JP2013161150A (ja) | 2012-02-02 | 2013-08-19 | Nifty Corp | 情報処理装置、情報処理方法、及び、プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9479526B1 (en) * | 2014-11-13 | 2016-10-25 | Shape Security, Inc. | Dynamic comparative analysis method and apparatus for detecting and preventing code injection and other network attacks |
-
2019
- 2019-07-12 JP JP2021532578A patent/JP7235114B2/ja active Active
- 2019-07-12 US US17/626,435 patent/US20220261482A1/en active Pending
- 2019-07-12 WO PCT/JP2019/027816 patent/WO2021009820A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008299540A (ja) | 2007-05-30 | 2008-12-11 | Five Drive Inc | Webサービス提供システム検査装置及びWebサービス提供システム検査プログラム |
JP2013161150A (ja) | 2012-02-02 | 2013-08-19 | Nifty Corp | 情報処理装置、情報処理方法、及び、プログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2021009820A1 (ja) | 2021-01-21 |
JPWO2021009820A1 (ja) | 2021-01-21 |
US20220261482A1 (en) | 2022-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wu et al. | Effective defense schemes for phishing attacks on mobile computing platforms | |
Wu et al. | MobiFish: A lightweight anti-phishing scheme for mobile phones | |
Chin et al. | Measuring user confidence in smartphone security and privacy | |
JP5925302B2 (ja) | 関係付けられたコンタクトからの漏洩に起因するソーシャル・リスクの評価方法、情報処理システムおよびコンピュータ・プログラム | |
US9307412B2 (en) | Method and system for evaluating security for an interactive service operation by a mobile device | |
US20140006507A1 (en) | Dynamic Security Question Compromise Checking Based on Incoming Social Network Postings | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
US9571514B2 (en) | Notification of security question compromise level based on social network interactions | |
CN104135467B (zh) | 识别恶意网站的方法及装置 | |
US10887345B1 (en) | Protecting users from phishing attempts | |
CN106685945B (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
Vecchiato et al. | Risk assessment of user-defined security configurations for android devices | |
US11012450B2 (en) | Detection device, detection method, detection system, and detection program | |
Laksmiati | Vulnerability assessment with network-based scanner method for improving website security | |
JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
JP7235114B2 (ja) | 脆弱性検査装置、脆弱性検査方法および脆弱性検査プログラム | |
JP5197681B2 (ja) | ログインシール管理システム及び管理サーバ | |
JP5981663B2 (ja) | 情報処理装置、情報処理方法、プログラム、記憶媒体及びパスワード入力装置 | |
JP5851311B2 (ja) | アプリケーション検査装置 | |
RU2758359C1 (ru) | Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами | |
Li et al. | Identifying Cross-User Privacy Leakage in Mobile Mini-Apps at a Large Scale | |
JP2016095637A (ja) | 認証処理装置、方法およびプログラム | |
JP6634737B2 (ja) | 移動通信端末、アプリ判定システム、及び移動通信端末の制御方法 | |
KR102587114B1 (ko) | 화이트 리스트를 기반으로 한 원격 제어 소프트웨어 탐지 장치 및 방법 | |
US20230123342A1 (en) | Vulnerability determination device, vulnerability determination method, and vulnerability determination program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211101 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230206 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7235114 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |