文献

J-GLOBAL ID：201702265616996235   整理番号：17A0161340

感性文字に基づくSQLインジェクション攻撃防御手法【JST・京大機械翻訳】

SQL Injection Prevention Based on Sensitive Characters

著者 (8件)： Zhang Huilin (Institute of Computer Science and Technology, Peking University) ,  Ding Yu (Institute of Computer Science and Technology, Peking University) ,  Zhang Lihua (Institute of Computer Science and Technology, Peking University) ,  Duan Lei (Institute of Computer Science and Technology, Peking University) ,  Zhang Chao (University of California at Berkeley) ,  Wei Tao (Baidu USA Limited Liability Company) ,  Li Guancheng (Institute of Computer Science and Technology, Peking University) ,  Han Xinhui (Institute of Computer Science and Technology, Peking University)
資料名： Jisuanji Yanjiu yu Fazhan  (Jisuanji Yanjiu yu Fazhan)
巻： 53  号： 10  ページ： 2262-2276  発行年： 2016年 
JST資料番号： W0790A  ISSN： 1000-1239  CODEN： JYYFEY  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 中国 (CHN)  言語： 中国語 (ZH)

抄録/ポイント： SQLインジェクション攻撃の歴史は長く、その検出メカニズムも広く研究されている。既存の研究では、SQL分析(TAINT ANALYSIS)とSQL文の構文解析を併用してSQLインジェクション攻撃検出を行っているが、WEBアプリケーションの実行エンジンを修正することで、汚れ情報を標識し、追跡することが難しく、時間と空間性能の損失が大きい。SQLインジェクション攻撃機構を分析することによって,本論文では,感度文字に基づくSQLインジェクション攻撃防御法を提案し,1)文字列からの信頼できる敏感な文字だけを積極的にマークした。2)WEBアプリケーションの実行エンジンを修正する必要がなく,符号化変換を利用して,汚れ情報を信頼できる敏感な文字のコードに直接記憶し,プログラム中のそれらの伝播を動的に追跡する。3)SQL文の構文解析を必要とせず、SQL文の中の敏感文字の由来、転の非可信敏の感字符を判断するだけで、SQLインジェクション攻撃を防御することができる。PHPに基づくZENDエンジンはシステムのプロトタイプを実現し、プラグイン方式で実現し、展開しやすい。実験は以下を示す。PHPGATEはSQLインジェクション攻撃を正確に防御し,効率的に汚れの効率を向上させ,ページ応答の時間コストは1.6%を超えない。Data from the ScienceChina, LCAS. Translated by JST【JST・京大機械翻訳】

シソーラス用語： 符号化 ,  *構文分析 ,  プロトタイプ ,  応用プログラム ,  文字列 ,  *サイバー攻撃
準シソーラス用語： プラグイン ,  *防衛 ,  *SQLインジェクション攻撃 , 【Automatic Indexing@JST】

著者キーワード (5件)： SQL injection attack ,  trusted sensitive character ,  dynamic taint analysis ,  positive taint analysis ,  UTF-8 encoding

分類 (1件)： データ保護  (JD01020V)

タイトルに関連する用語 (5件)： 感性 ,  文字 ,  SQLインジェクション攻撃 ,  防御 ,  手法