クロスサイトスクリプティング脆弱性の
自動判定・収集システムの提案と実装
WWW では HTTP が用いられ,Cookie により
セッション管理を実現している.
ユーザのプライバシーは Cookie の仕様により保護されているが,
Cross-Site Scripting (XSS) の脆弱性が サーバ側に存在すると
Cookie が漏洩し,
悪意ある第三者に Cookie 所有者の
クレジットカード番号などの個人情報を取得される可能性がある.
サーバ側におけるXSS対策手法は存在するが,
XSS 脆弱性のある Web ページは未だに多数存在している.
これは,運用面での問題が大きいためである.
そのため,クライアント側の XSS 対策が必要であり,
XSS 脆弱性のある Web ページの情報が必要となる.
本研究では,
ユーザが Web ページに入力した情報から
自動的に XSS 脆弱性を自動判別し,
XSS 脆弱性情報を収集,共有するシステムを提案する.
本提案方式では,
ローカルプロキシがHTTP リクエスト及びレスポンスの情報から
XSS脆弱性の有無を自動判定し,
さらに,
XSS 脆弱性情報を収集するデータベースサーバとの連係により
情報の共有が可能となる.
XSS 脆弱性情報があれば,
URL ベースによるクライアント側の XSS 対策が可能となり,
XSS 脆弱性を軽視していたサーバ側への警鐘とすることも期待できる.