インジェクション攻撃に対する柔軟なDynamic Taint
Propagation機構の提案と実装
Satoshi Asano (0551003)
本論文では,Web アプリケーションに対してのユーザ入力が起点となって発生
するインジェクション攻撃を防ぐための機構を提案し,実装を行った.提案シス
テムによって,ユーザ入力に基づく変数が適切に入力検証されないまま外部シス
テムへ出力されることを防ぐことができる.従来はWeb アプリケーションの意
図によって行う処理が異なるため,自動的な出力抑制では問題が発生した.そこ
で本研究FDTP では文字列処理を変数と共に記録し,外部出力の際に,基本ポリ
シーと任意ポリシーによるチェックを行うことでこれを解決した.標準的は入力
検証は基本ポリシーで定義し,アプリケーション独自の処理は任意ポリシーで定
義している.また提案では,出力の抑制を行った際の変数の文字列処理による値
の変化を記録している.この情報によって,後に脆弱性を修正する作業を容易に
できる.