抄録

◎木村勇一・後藤厚宏・大久保隆夫（情報セキュリティ大）

本研究は，既存Webアプリケーション（WebAP）の入力処理の脆弱性を調査し，対策を考察したものである．2014年4月に広く認知されたStruts2，及びStruts1の脆弱性は，オブジェクト指向言語の基本的な枠組みで発生する脆弱性である．背景にある課題は，WebAPの内部構造のブラックボックス化とリクエストパラメタの正否を識別する仕組みの欠如が挙げられる．この課題に対し，本研究のホワイトリストのチェックフィルタによる対策が適用できる．ホワイトリストは，必要なパラメタのみ取り込み，その他のパラメタを除外するので，汎用的な処理を行うコンポーネント利用が前提となる場合は有効である．