修士/博士論文

パフォーマンスを考慮したプリミティブな
Trusted TypesによるClient-Side XSS防御手法

現在,攻撃者が脆弱なWebアプリケーションに悪意のあるスクリプトを挿入し実行させるCross Site Scripting(XSS)が問題となっており,近年ではクライアント側の機能増加に伴い,XSSの一種であるClient-Side XSSによる攻撃が問題となっています. このClient-Side XSSは反射型や蓄積型のXSSとは異なり,被害者のWebブラウザでスクリプトが構成されるため,従来の対策では防御が困難なことが課題として挙げられています.

研究課題

この問題に対処するために,テイントトラッキングによる検知・防御策などが提案されていますが,パフォーマンスに影響が発生し,実用的なものが無いのが現状となっています. そこで本研究では,文字列の型で安全であるかを検証するTrusted Typesを,プリミティブな型として定義することで,パフォーマンスへの影響を軽減しながらClient-Side XSSの防御を行う手法を提案します.

提案手法の実装として,OSSのJavaScriptエンジンとWebブラウザである,V8とChromiumに実装し,評価結果として,既存手法のオーバーヘッドが7~17%,または5%以上生じるとされているのに対して,本手法のオーバヘッドは最大で1.2%となり,パフォーマンスへの影響を軽減することが可能になりました.

研究業績

  • 山崎 勇二, 垣内 正年, 新井 イスマイル, 藤川 和利, "既存のWebアプリケーションへの適用性を考慮したプリミティブなTrusted TypesによるClient-Side XSS防御手法の提案," 研究報告コンピュータセキュリティ(CSEC), 情報処理学会, vol.2019-CSEC-87, no.5, pp1 -6, 2019年12月