JP7359288B2 - 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム - Google Patents
脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム Download PDFInfo
- Publication number
- JP7359288B2 JP7359288B2 JP2022508629A JP2022508629A JP7359288B2 JP 7359288 B2 JP7359288 B2 JP 7359288B2 JP 2022508629 A JP2022508629 A JP 2022508629A JP 2022508629 A JP2022508629 A JP 2022508629A JP 7359288 B2 JP7359288 B2 JP 7359288B2
- Authority
- JP
- Japan
- Prior art keywords
- websites
- rehosting
- url
- attack
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Description
まず、本実施形態の弱性判定装置が判定の対象とする攻撃について説明する。なお、本実施形態において、弱性判定装置が判定の対象とする攻撃は、ユーザ端末がウェブ再ホスティングサービスにより、攻撃者サイトを閲覧することにより発生する攻撃であるものとする。
・Atk#2:ブラウザにおいてパーミッション保護されたリソース(Camera、Microphone、Location等)を悪用し、過去に許可された権限を再利用する。
・Atk#3:ブラウザのPassword Managerの機能を悪用し、ブラウザに保存されたID、パスワードを窃取する。
・Atk#4:ブラウザのCookie、localStorageを悪用し、ブラウザの閲覧履歴の推定を行う。
・Atk#5:ブラウザのCookieを悪用し、ブラウザのログインセッションの窃取、上書きを行う。
次に、図5を用いて、脆弱性判定装置によるウェブ再ホスティングの脆弱性の判定の概要を説明する。
ここで、上記の調査用サイトX,Yについて説明する。例えば、調査用サイトXは、図6に示すように、トップページをhttps://x.example/とし、このトップページの配下にService Workerに関するコード(sw.js)と、Application Cache Manifest(manifest)とが配置されるよう設定する。
<a href="./manifest">
次に図7を用いて脆弱性判定装置10の構成例を説明する。脆弱性判定装置10は、入出力部11と、制御部12と、記憶部13とを備える。
(2)ドメインチェック:調査用サイトX´および調査用サイトY´のURLのドメインは同じであるか否か。
(3)パスチェック:調査用サイトX´および調査用サイトY´のURLのパスはそれぞれ同じ階層であるか否か。
(4)応答ヘッダチェック:調査用サイトX´のHTTP応答ヘッダにおいてCookieを書き込む設定が有効であるか否か。
(5)応答ボディチェック:調査用サイトX´のHTTP応答ボディにおいてブラウザの各機能にアクセスするコードが有効であるか否か。
(6)追加リソースチェック:調査用サイトX´の配下のsw.jsおよびmanifestに正しいContent-typeが設定されているか否か。
次に図9を用いて脆弱性判定装置10の処理手順の例を説明する。なお、調査用サイトX,Yは事前に用意されているものとする。
また、上記の実施形態で述べた脆弱性判定装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムをコンピュータに実行させることにより、コンピュータを脆弱性判定装置10として機能させることができる。ここで言うコンピュータには、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、コンピュータにはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、脆弱性判定装置10の機能を、クラウドサーバに実装してもよい。
10 脆弱性判定装置
11 入出力部
12 制御部
13 記憶部
121 URL投入部
122 応答取得部
123 判定部
124 出力処理部
Claims (6)
- 複数のウェブサイトを再ホストしてユーザ端末に表示させる再ホスティング装置に、再ホストの対象となる複数のウェブサイトのURLを投入するURL投入部と、
前記再ホスティング装置から、前記再ホスト後の前記複数のウェブサイトそれぞれのコンテンツおよびURLを含む、前記URLの投入に対する応答を取得する応答取得部と、
前記取得した応答に基づき、前記再ホスト後の複数のウェブサイトそれぞれに設定されたURL、前記複数のウェブサイトにおけるCookieを書き込む設定の有無、および、前記複数のウェブサイトにおけるブラウザの所定の機能にアクセスするコードの有無の少なくともいずれかを特定し、前記特定した結果を用いて、前記複数のウェブサイトの再ホストにより発生しうる攻撃を判定する判定部と
を備えることを特徴とする脆弱性判定装置。 - 前記判定部は、さらに、
前記取得した応答に基づき、前記再ホスト後の複数のウェブサイトそれぞれに設定されたURLにおけるドメインが同じか否か、および、パスの階層が同じか否かを特定し、前記特定した結果を用いて、前記複数のウェブサイトの再ホストにより発生しうる攻撃を判定する
ことを特徴とする請求項1に記載の脆弱性判定装置。 - 前記判定部は、さらに、
前記取得した応答に基づき、前記再ホスト後の複数のウェブサイトのいずれかのService WorkerおよびApplication Cache Manifestそれぞれに正しいContent-Typeが設定されているか否かを特定し、前記特定した結果を用いて、前記複数のウェブサイトの再ホストにより発生しうる攻撃を判定する
ことを特徴とする請求項1に記載の脆弱性判定装置。 - 前記複数のウェブサイトの再ホストにより発生しうる攻撃は、
ブラウザのService WorkerまたはApplication Cacheを用いた他のウェブサイトへのアクセスの傍受または改ざん、ブラウザにおいて過去に利用が許可された権限の再利用、ブラウザに保存されたID、パスワードの窃取、ブラウザによる閲覧履歴の推定、および、他のウェブサイトへのログインセッションの窃取または上書き、のいずれかまたはこれらの組み合わせである
ことを特徴とする請求項1に記載の脆弱性判定装置。 - 脆弱性判定装置により実行される脆弱性判定方法であって、
複数のウェブサイトを再ホストしてユーザ端末に表示させる再ホスティング装置に、再ホストの対象となる複数のウェブサイトのURLを投入する工程と、
前記再ホスティング装置から再ホスト後の前記複数のウェブサイトそれぞれのコンテンツおよびURLを含む、前記URLの投入に対する応答を取得する工程と、
前記取得した応答に基づき、前記再ホスト後の複数のウェブサイトそれぞれに設定されたURL、前記複数のウェブサイトにおけるcookieを書き込む設定の有無、および、前記複数のウェブサイトにおけるブラウザの所定の機能にアクセスするコードの有無の少なくともいずれかを特定し、前記特定した結果を用いて、前記複数のウェブサイトの再ホストにより発生しうる攻撃を判定する工程と
を含むことを特徴とする脆弱性判定方法。 - 複数のウェブサイトを再ホストしてユーザ端末に表示させる再ホスティング装置に、再ホストの対象となる複数のウェブサイトのURLを投入する工程と、
前記再ホスティング装置から、前記再ホスト後の前記複数のウェブサイトそれぞれのコンテンツおよびURLを含む、前記URLの投入に対する応答を取得する工程と、
前記取得した応答に基づき、前記再ホスト後の複数のウェブサイトそれぞれに設定されたURL、前記複数のウェブサイトにおけるcookieを書き込む設定の有無、および、前記複数のウェブサイトにおけるブラウザの所定の機能にアクセスするコードの有無の少なくともいずれかを特定し、前記特定した結果を用いて、前記複数のウェブサイトの再ホストにより発生しうる攻撃を判定する工程と
をコンピュータに実行させることを特徴とする脆弱性判定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/011557 WO2021186515A1 (ja) | 2020-03-16 | 2020-03-16 | 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021186515A1 JPWO2021186515A1 (ja) | 2021-09-23 |
JP7359288B2 true JP7359288B2 (ja) | 2023-10-11 |
Family
ID=77770881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022508629A Active JP7359288B2 (ja) | 2020-03-16 | 2020-03-16 | 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230123342A1 (ja) |
JP (1) | JP7359288B2 (ja) |
WO (1) | WO2021186515A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130160131A1 (en) | 2011-12-20 | 2013-06-20 | Matias Madou | Application security testing |
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
JP2017224150A (ja) | 2016-06-15 | 2017-12-21 | 日本電信電話株式会社 | 解析装置、解析方法および解析プログラム |
JP2019517088A (ja) | 2016-05-06 | 2019-06-20 | サイトロック リミテッド ライアビリティ カンパニー | 難読化されたウェブサイトコンテンツ内のセキュリティ脆弱性及び侵入検出及び修復 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8448245B2 (en) * | 2009-01-17 | 2013-05-21 | Stopthehacker.com, Jaal LLC | Automated identification of phishing, phony and malicious web sites |
US8756684B2 (en) * | 2010-03-01 | 2014-06-17 | Emc Corporation | System and method for network security including detection of attacks through partner websites |
US20170323361A1 (en) * | 2016-05-06 | 2017-11-09 | Oct8ne Inc. | Rapid re-hosting of collaborative browsing sessions |
-
2020
- 2020-03-16 JP JP2022508629A patent/JP7359288B2/ja active Active
- 2020-03-16 US US17/911,136 patent/US20230123342A1/en active Pending
- 2020-03-16 WO PCT/JP2020/011557 patent/WO2021186515A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
US20130160131A1 (en) | 2011-12-20 | 2013-06-20 | Matias Madou | Application security testing |
JP2019517088A (ja) | 2016-05-06 | 2019-06-20 | サイトロック リミテッド ライアビリティ カンパニー | 難読化されたウェブサイトコンテンツ内のセキュリティ脆弱性及び侵入検出及び修復 |
JP2017224150A (ja) | 2016-06-15 | 2017-12-21 | 日本電信電話株式会社 | 解析装置、解析方法および解析プログラム |
Also Published As
Publication number | Publication date |
---|---|
JPWO2021186515A1 (ja) | 2021-09-23 |
US20230123342A1 (en) | 2023-04-20 |
WO2021186515A1 (ja) | 2021-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Nikiforakis et al. | You are what you include: large-scale evaluation of remote javascript inclusions | |
US8850526B2 (en) | Online protection of information and resources | |
US20220366050A1 (en) | Cyber secure communications system | |
EP3247084B1 (en) | Server and method for providing secure access to web-based services | |
EP3623972A1 (en) | Secure data leak detection | |
Bhavani | Cross-site scripting attacks on android webview | |
US20140283078A1 (en) | Scanning and filtering of hosted content | |
US20170289163A1 (en) | Method and system for system for controlling online user account using a mobile device | |
US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
Kaur et al. | Browser fingerprinting as user tracking technology | |
US8082341B2 (en) | ActiveX detection and handling in mozilla-based browsers | |
US8381269B2 (en) | System architecture and method for secure web browsing using public computers | |
US8997205B1 (en) | Method and apparatus for providing secure web transactions using a secure DNS server | |
JP7359288B2 (ja) | 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム | |
Guan et al. | DangerNeighbor attack: Information leakage via postMessage mechanism in HTML5 | |
CN118202350A (zh) | 检测并防止跨站点请求伪造缓解特征的不一致使用 | |
KR101006720B1 (ko) | 웹 페이지에서의 비밀번호 보안방법 및 이를 실행하기 위한프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 | |
Saini et al. | Vulnerabilities in Android OS and Security of Android Devices | |
JP2014170336A (ja) | データファイル管理システム、データファイル取得プログラム及びデータファイル管理サーバ | |
CN115695050B (zh) | 点击劫持攻击的防范方法、装置、电子设备及存储介质 | |
US11716381B2 (en) | Exporting data to a cloud-based service | |
US11985165B2 (en) | Detecting web resources spoofing through stylistic fingerprints | |
US20230367892A1 (en) | Secure embedded web browser | |
Sood et al. | Spying on the browser: dissecting the design of malicious extensions | |
Mostafa et al. | A Proposed Logical Framework For Enhance Website's Security Fromthe Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220905 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A801 Effective date: 20220905 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20220906 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230829 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230911 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7359288 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |