抄録
CL-005
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法
Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法
Webアプリケーションが利用するデータベースから機密情報を窃取する攻撃が問題となっている.
対策として,クエリのホワイトリストによる検知があるがクエリパターンが膨大なため自動作成手法が利用される.
しかし,これらの手法にはリスト更新に時間がかかり検知の即時性が低い課題や対象アプリケーション毎に実装が必要となり汎用性が低い課題がある.
本稿では,開発者がアプリケーションの仕様変更に追従して動作テストを更新していく開発において,テスト実行時に発行されるクエリからホワイトリストを作成する手法を提案する.
提案手法ではリスト更新はテスト更新により行え,また発行クエリを利用するためアプリケーション毎の実装は必要ない.
対策として,クエリのホワイトリストによる検知があるがクエリパターンが膨大なため自動作成手法が利用される.
しかし,これらの手法にはリスト更新に時間がかかり検知の即時性が低い課題や対象アプリケーション毎に実装が必要となり汎用性が低い課題がある.
本稿では,開発者がアプリケーションの仕様変更に追従して動作テストを更新していく開発において,テスト実行時に発行されるクエリからホワイトリストを作成する手法を提案する.
提案手法ではリスト更新はテスト更新により行え,また発行クエリを利用するためアプリケーション毎の実装は必要ない.
