講演抄録/キーワード |
講演名 |
2022-03-08 10:40
抽象構文木による開発者向けDOM-Based XSS対策支援システムの提案 ○中原 崇・井手脩太・前田達哉・波多悠輔・小林孝史(関西大) ICSS2021-72 |
抄録 |
(和) |
XSS脆弱性は,Webアプリケーションの実装を経由して攻撃者が任意のJavaScriptを実行できる脆弱性であり,開発者にはソフトウェアの脆弱性を低減することが求められている.そこで,本稿ではWebアプリケーションの開発段階において,開発者へDOM-Based XSS脆弱性となりうるソースコードを警告するシステムを提案する.DOM-Based XSSの検知において,抽象構文木を用いたフロー解析を行うことで,テイント伝搬による既存の動的解析システムと比較して検知率及びパフォーマンスの向上が確認できた. |
(英) |
XSS vulnerability is a vulnerability that allows an attacker to execute arbitrary JavaScript via the vulnerable implementation of a web application, and developers are required to reduce software vulnerabilities. In this paper, we propose a system that warns developers of DOM-Based XSS during the development stage. In the detection of DOM-Based XSS, flow analysis using abstract parse trees improves the detection rate and performance compared to existing dynamic analysis systems using taint propagation. |
キーワード |
(和) |
DOM-Based XSS / 抽象構文木 / 静的解析 / フロー解析 / ESLint / / / |
(英) |
DOM-Based XSS / abstract syntax tree / static analysis / flow analysis / ESLint / / / |
文献情報 |
信学技報, vol. 121, no. 410, ICSS2021-72, pp. 78-86, 2022年3月. |
資料番号 |
ICSS2021-72 |
発行日 |
2022-02-28 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2021-72 |