2024-03-29T15:45:24Z
https://repository.dl.itc.u-tokyo.ac.jp/oai
oai:repository.dl.itc.u-tokyo.ac.jp:00001848
2022-12-19T03:43:17Z
34:105:262
9:233:234
Assured Resistance against SQL-Injection Attacks : A Whitelist-Coding Approach and Implementation
ホワイトリストコーディングによるSQLインジェクション攻撃耐性保証方法と実装
渡邉, 悠
5671
548
修士(情報理工学)
ソフトウェアによって管理される情報の重要性が増大し,ソフトウェアの安全性がより一層重要となっている昨今において,ソフトウェアに脆弱性が存在しないことを開発者任せにせずにいかに保証するかは重大な問題となっている.本論文では,ソフトウェア脆弱性の中でもデータベースに対する不正操作を引き起こしWeb アプリケーションを開発・運用する際に問題となるSQL インジェクション攻撃に対する脆弱性に注目し,アプリケーションのSQL インジェクション攻撃に対する耐性を保証する新しい枠組みとその技術的実現手法の提案を行った./ 本論文で提案する新しい耐性保証の手法は,攻撃の検出や脆弱性の検出を用いた既存のSQL インジェクション攻撃対策技術とは異なり,あらかじめ安全なコーディング方法を開発者に対して提供しておき検証時にプログラムがそのコーディング方法のみを利用して開発されていることを技術的に保証することでソフトウェアの安全性を保証する.それゆえ攻撃の検出や脆弱性の検出を利用した既存の手法に比べ,検出漏れにより脆弱性が放置される危険や誤検知によって通常のユーザ操作が拒否される危険性が原理的に小さい手法である.また提案手法の有効性を実証するために,本提案手法で必要となる拡張をオープンソースのリレーショナルデータベース管理システムPostgreSQL に対して施したデータベースと,拡張されたデータベースを利用するためのデータベース接続ライブラリの拡張を行った.
thesis
2009-03-23
2009-03-23
application/pdf
https://repository.dl.itc.u-tokyo.ac.jp/record/1848/files/watanabe.pdf
jpn