New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Webアプリケーションテストを用いたSQLクエリのホワイトリスト自動作成手法 #1

Open

beli68 opened this issue Oct 22, 2019 · 0 comments

Owner

beli68 commented Oct 22, 2019

一言で言うと？

自動テストで発生したクエリを元にホワイトリストを作成することで、
開発者の負担を下げてホワイトリストの作成ができる。
テスト内容に起因する誤検知はあるがある程度抑制ができそう。

先行研究と比べてどこがすごい？

開発プロセス内でホワイトリストを作成するので開発プロセスへの影響が抑えられる
サービス開始直後から不正クエリを検知できる
Webアプリケーションの実装に依存しない

技術や手法のキモはどこ？

テストコードが発行したクエリを元にホワイトリストを作成する
- 開発者は発行されるクエリの詳細把握が不要
- プログラムの静的解析などが不要

どうやって有効だと検証した？

実環境のログを使用して検証
- False positive 偽陽性
- False negative 偽陰性
- 両方が見つかった

議論はある？

次に読むべき論文は？

F.Jos ́e,V.MarcoandM.Henrique,”Detectingmali- cious SQL”, International Conference on Trust, Pri- vacy and Security in Digital Business, Vol.4657, pp.259- 268, 2007.
F. Valeur, D. Mutz and G. Vigna, ”A learning-based ap- proach to the detection of SQL attacks”, International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment, pp.123-140, 2005.

論文情報

著者

野村孔命
力武健次
松本亮介

論文リンク

http://id.nii.ac.jp/1001/00197499/

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment