Loading…
This event has ended. View the official site or create your own event → Check it out
This event has ended. Create your own
Join us at OWASP AppSec APAC 2014 !!
View analytic
Wednesday, March 19 • 5:00pm - 5:50pm
日本におけるWebアプリケーション脆弱性の実態調査 / The investigation of Web Application Vulnerabilities in Japan

Sign up or log in to save this to your schedule and see who's attending!

Webアプリケーションのセキュリティ対策の現状を把握するため、アクセス頻度 の高いJPドメイン16000件を対象とした大規模な調査を実施した。各種パラメー タにおけるエスケープ処理を始めとした脆弱性対策の有無を確認し、傾向を示す。
本研究ではWebサイトにおけるセキュリティ対策の現状を示すため、JPドメイン の16000件のトップページとそのリンク先を含む871339ページを対象としてセ キュリティ対策の実態調査を実施した。対象ページに対し、レスポンスボディ内における送信した記号類の出力状態、 metaタグによる既知の脆弱性の有無を確認した。結果及び実施内容はMongoDBに 保存し、検索・分析を行った。調査の結果、エスケープ漏れについてはアクセス 頻度が最も高いブロック以外でほぼ一定の割合となり、平均でフォームの6.52% にエスケープ漏れが発生することが明らかになった。またHTTPヘッダやドメイン 属性によって分類したところ、PHPを用いて構築されたWebサイトやco.jpドメイ ンで公開されているWebサイトにおいて平均より高くエスケープ漏れが存在する ことが明らかになった。

In order to understand the current conditions of web application security policies, 16,000 Japanese domains with high access rates were analyzed on a large scale by confirming the presence of policies for particular vulnerabilities using various parameters to ascertain the general trend.
In this research project, the security policies of 16,000 Japanese domains and a total 871,339 pages were examined.  Pages were examined by looking at the character output transmitted in the response body as well as the presence of known vulnerabilities resulting from meta tags. After storing the results from the examinations in MongoDB, a search and analysis was conducted.  The results of this examination indicated that in terms of escape leaks, other than the blocks with the highest access frequencies, there were uniform ratios.  On average, 6.52% of forms clearly experienced escape leaks.
Additionally, after categorizing results based on HTTP headers and domain attributes, web sites constructed using PHP and co.jp domain sites has higher than average instances of escape leaks.

Speakers
avatar for 高橋 恒樹 / Koki Takahashi

高橋 恒樹 / Koki Takahashi

Faculty of Environment and Information Studies, Keio University
http://blog.xss.jp/profile.php


Wednesday March 19, 2014 5:00pm - 5:50pm
TERRACE ROOM

Attendees (8)