攻撃者視点を取り入れたクロスサイトスクリプティング対策の実践的演習システムの開発と評価

岸本, 和理, 谷口, 義明, 井口, 信和, Kazuri, Kishimoto, Yoshiaki, Taniguchi, Nobukazu, Iguchi

書誌事項

タイトル別名

Development and Evaluation of a Hands-on System Incorporating the Attacker's Perspective for Learning Cross-site Scripting Countermeasures

説明

Webアプリケーションの脆弱性を悪用した主要な攻撃の1つにクロスサイトスクリプティング（XSS）攻撃がある．Webアプリケーション内のXSS脆弱性を減らすためには，Webアプリケーション開発者が，XSS攻撃および対策手法を学ぶだけでなく，攻撃者視点でXSS脆弱性を発見するための知識やスキルを習得することが重要であると考えられる．そこで本稿では，攻撃者視点を取り入れたXSS演習システムを開発する．学習者はWebブラウザ，仮想ネットワーク上に構築したWebサーバ，攻撃者ホストを使って学習や演習を実施する．情報系学科の学生を対象とした実験の結果，本システムを用いることにより座学と比較してXSS対策の学習を支援できることを確認した．

Cross-site scripting is a typical attack that exploits web application vulnerabilities. In this paper, we develop a hands-on system incorporating the attacker's perspective for learning how to create secure web applications against cross-site scripting. Our system considers not only learning of attack and countermeasure methods but also learning of vulnerability detection methods. As a result of experiments targeting students, we confirmed that our system can support learning of cross-site scripting measures compared to classroom lectures.

収録刊行物

情報処理学会論文誌教育とコンピュータ（TCE）

情報処理学会論文誌教育とコンピュータ（TCE） 8 (2), 76-81, 2022-06-23

情報処理学会

詳細情報詳細情報について

CRID: 1050292561229655680

NII書誌ID: AA12697953

ISSN: 21884234

Web Site: https://ipsj.ixsq.nii.ac.jp/records/218716

本文言語コード: ja

資料種別: journal article

データソース種別

IRDB

書き出し

問題の指摘

攻撃者視点を取り入れたクロスサイトスクリプティング対策の実践的演習システムの開発と評価

書誌事項

この論文をさがす

説明

収録刊行物

キーワード

詳細情報詳細情報について

書き出し

問題の指摘

攻撃者視点を取り入れたクロスサイトスクリプティング対策の実践的演習システムの開発と評価

書誌事項

この論文をさがす

説明

収録刊行物

キーワード

詳細情報 詳細情報について

書き出し

問題の指摘

詳細情報詳細情報について