ウェブサーバとクライアントとの間の通信を監視するウェブ保安管理装置及び方法
【課題】ウェブサーバとクライアントとの間の通信を監視するウェブ保安管理装置及び方法を提供する。
【解決手段】クライアントから通信パケットが受信されると、通信パケットがウェブサーバに伝送する入力データを含む通信パケットであるか否かを検証し、該検証の結果、ウェブサーバに伝送する入力データを含む通信パケットであれば、入力データと関連したユーザ入力フォームの有効性検証情報を用いて入力データの有効性を検証し、該検証の結果、有効ではないデータであれば、入力データをエラー処理するウェブサーバとクライアントとの間の通信を監視する方法。
【解決手段】クライアントから通信パケットが受信されると、通信パケットがウェブサーバに伝送する入力データを含む通信パケットであるか否かを検証し、該検証の結果、ウェブサーバに伝送する入力データを含む通信パケットであれば、入力データと関連したユーザ入力フォームの有効性検証情報を用いて入力データの有効性を検証し、該検証の結果、有効ではないデータであれば、入力データをエラー処理するウェブサーバとクライアントとの間の通信を監視する方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、ファイアーウォールのようなウェブ保安技術に係り、特に、クライアントからウェブサーバに伝送するフォームに含まれた入力データの改ざんを通じたハッキングを遮断する技術に関する。
【背景技術】
【0002】
ウェブサーバは、クライアントのウェブサービス要求によって当該クライアントにウェブサーバから提供するユーザ入力フォームを伝送する。ウェブサーバから受信されたユーザ入力フォームにユーザID、パスワードのような入力データが入力されれば、クライアントは、当該ビジネスロジックに適した入力であるか否かを検証する。すなわち、クライアントは、クライアントサイドスクリプト(Client side script)を動作させて自動的に当該入力データが有効なデータであるか否かを検証する。
【0003】
ここで、クライアントサイドスクリプトは、クライアントで実行されるウェブ言語であって、例えば、入力データがテキスト及び数字と許容された一部特殊文字のみで構成された文字列であるか否かを検証するジャバスクリプト(Java scrpit)などになり得る。このようなクライアントサイドスクリプトを動作させて、ユーザ入力フォームに入力された入力データの有効性が検証されると、クライアントは有効性が検証された入力データを含むデータ入力フォームをウェブサーバに伝送して、ウェブサイトから提供されるウェブサービスを利用することが一般的なウェブサービスの過程である。
【0004】
しかし、このようなウェブサービスの過程を通じてクライアントから入力データを受信するウェブサーバは、SQLインジェクションのような形態の攻撃を意図する改ざんされた入力データを受信する危険に曝されている。例えば、ハッキング攻撃者(ハッカー)は、ウェブプロキシ(Web proxy)を通じてクライアントにおいて有効性の有無が検証されてウェブサーバに伝送される入力データを改ざんする。それだけではなく、ハッカーは、ブラウザーを経ずに自身が直接生成した入力データをクライアントサイドスクリプトの検証を迂回してウェブサーバに伝送する。
【0005】
これにより、ウェブサーバは、ハッカーによって改ざんされるか有効性の有無が検証されていない入力データを受信して、このデータが意図とは異なったSQLとして解析されてデータベースにアクセスするか、また他のシステムコマンドとして解析されてユーザ権限を変更してハッキング攻撃に曝される危機に陥ることがある。
【0006】
このように、ハッカーによって改ざんされるか有効性の有無が検証されていない入力データを受信したウェブサーバは、既に保存された多数のユーザの情報が外部に流出するなどのウェブハッキング事故が発生する問題がある。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、このような問題点を解決しようとするものであって、クライアントに受信されたユーザ入力フォームを悪用したハッカーの攻撃を遮断することを目的とする。
【0008】
さらに、本発明によるウェブ保安管理装置は、ウェブサーバに伝送される入力データの有効性の有無を検証することによって、ウェブサーバに改ざんされた入力データが伝送されてハッキングが発生しないようにすることを目的とする。
【課題を解決するための手段】
【0009】
前述した技術的課題は、後述する本発明の特徴的な態様によって達成される。本発明は、ウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視することで達成される。一態様によれば、クライアントから通信パケットが受信されると、通信パケットがウェブサーバに伝送する入力データを含む通信パケットであるか否かを検証し、該検証の結果、ウェブサーバに伝送する入力データを含む通信パケットであれば、入力データと関連したユーザ入力フォームの有効性検証情報を用いて入力データの有効性を検証し、該検証の結果、有効ではないデータであれば、入力データをエラー処理する。
【0010】
本発明の追加的な態様によれば、入力データを含む通信パケットは、アクションURL(Action URL)を含み、通信パケットであるか否かを検証するために、クライアントから受信された通信パケットがアクションURLであるか否かを検証する。
【0011】
本発明の追加的な態様によれば、本方法は、クライアントのウェブサービス要求によって、ウェブサーバから受信されたユーザ入力フォームをクライアント側に伝送し、ユーザ入力フォームの有効性検証情報を保存する。
【0012】
本発明の追加的な態様によれば、エラー処理は、クライアント側に入力データと関連したエラー情報メッセージを伝送する。
【0013】
本発明のこのような態様によってウェブ保安管理装置は、クライアントからウェブサーバに伝送する入力データが受信されると、該受信された入力データがハッカーによって改ざんされた入力データであるか否かを検証し、それによってエラーが検証されると、当該入力データに対するエラー情報をクライアントに伝送し、改ざんされた入力データがウェブサーバに伝送されるのを遮断することによって、攻撃によって意図的なウェブサーバハッキングを遮断することができる。
【0014】
本発明の追加的な態様によれば、入力データの有効性の検証は、有効性検証情報に含まれたフィールド特定情報を用いてアクションURLに含まれた入力データを獲得し、有効性検証情報に含まれた入力検証コード情報を用いて入力データが有効な情報であるか否かを検証する。
【0015】
本発明の追加的な態様によれば、フィールド特定情報は、アクションURLに含まれた入力データが入力される範囲あるいはアルファベット、数字、特殊記号のように、入力データとして使われるように定義されたデータの種類であり、入力検証コード情報は、フィールド特定情報を通じて獲得された入力データが有効な情報であるか否かを検証する有効性検証プログラムである。
【0016】
本発明のこのような態様によって、クライアント側からウェブサーバに伝送するアクションURLに含まれた入力データを獲得し、有効性検証プログラムを用いて獲得された入力データが有効であるか否かを検証することができる。
【発明の効果】
【0017】
本発明によるウェブサーバとクライアントとの間に設けられて相互間の通信を監視するウェブ保安管理装置及び方法は、ウェブ保安管理装置を通じてクライアントから入力された入力データが有効であるか否かを検証することによって、ウェブサーバにSQLインジェクションを通して改ざんされた入力データが受信されるのを遮断することができる。
【0018】
すなわち、ハッカーは、クライアントで自動的にクライアントサイドスクリプトを通じて有効性の有無が検証された入力データを改ざんする。それだけではなく、ハッカーは自動的に偽造された入力データを生成させ、クライアントサイドスクリプトの検証を迂回して入力データをウェブサーバに伝送する。この際、本発明によるウェブ保安管理装置は、ハッカーによって改ざんまたは偽造されたウェブサーバに伝送される入力データの有効性の有無を再検証することによって、ハッカーによって改ざんまたは偽造された入力データがウェブサーバに伝送されるのを遮断することができる。これにより、ウェブサーバは、改ざんされた入力データによるハッキング攻撃から保護されてウェブサーバ内のセキュリティーを向上させることができる。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施形態によるウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法を示したフローチャートである。
【図2】本発明の一実施形態によるウェブ保安管理装置でクライアントから受信された入力データの有効性を検証する方法を示したフローチャートである。
【図3】本発明の一実施形態によるウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置に対する構成を示したブロック図である。
【発明を実施するための形態】
【0020】
前述した、そして、追加的な本発明の態様は、添付した図面を参照して説明される望ましい実施形態を通じてさらに明確になる。以下では、本発明を、このような実施形態を通じて当業者が容易に理解して再現できるように詳しく説明する。
【0021】
図1は、本発明の一実施形態によるウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法を示したフローチャートである。
【0022】
図1に示されたように、クライアント100は、多数のウェブサイトのうち少なくとも一つのウェブサイトから提供するウェブサービスを利用するために、当該ウェブサイトのウェブサーバ300に接続を要求する(S100)。ここで、ウェブサーバ300に接続を要求するクライアント100は、一般ユーザが使うコンピュータとコンピュータに設けられているネットスケープまたはインターネットエクスプローラーのようなウェブブラウザーを言う。
【0023】
このようなクライアント100のウェブサーバ300への接続要求によって、ウェブ保安装置200は、接続を試みたクライアント100が当該ウェブサイトのウェブサーバ300に接続されるように接続要求情報を伝送する(S110)。接続要求情報を受信したウェブサーバ300は、クライアント100側に伝送するユーザ入力フォームをウェブ保安管理装置200に伝送する(S120)。
【0024】
ここで、ユーザ入力フォームは、ユーザのID、パスワードのようなユーザ情報を入力するためのHTML(Hyper Text Markup Language)で構成されたウェブページである。しかし、本発明は、これに限定されず、ユーザ入力フォームは、決済ウインドウや検索ウインドウなどに入力されるデータをサーバに伝送する一般的な様式を包括する。
【0025】
このようなユーザ入力フォームが受信されると、ウェブ保安管理装置200は、受信されたユーザ入力フォームをクライアント100に伝送する。この際、ウェブ保安管理装置200は、クライアント100に伝送するユーザ入力フォームに含まれた有効性検証情報を有効性検証情報保存部に保存する(S130、S140)。ここで、有効性検証情報は、クライアント100から入力されて受信された入力データが有効であるか否かを検証する情報であって、フィールド特定情報と入力検証コード情報とを含む。このようなフィールド特定情報と入力検証コード情報は、下記で詳しく説明する。
【0026】
一方、ウェブ保安管理装置200からユーザ入力フォームを受信したクライアント100は、ウェブサイトが提供するウェブサービスを利用するために、ウェブサーバ300に伝送するユーザのID、パスワードのようなユーザ情報が入力された入力データをウェブ保安管理装置200に伝送する(S150)。この際、クライアント100は、入力データが入力されると、自動的に当該ビジネスロジックに適した入力であるか否かを検証した後、入力データをウェブ保安管理装置200に伝送することが望ましい。以後、ウェブ保安管理装置200は、有効性検証情報保存部に保存された有効性検証情報を用いてクライアント100から受信された入力データの有効性を検証する(S160)。このように、ウェブ保安管理装置200が、クライアント100から受信された入力データの有効性を検証する方法は、図2に示すように実現することができる。
【0027】
図2は、本発明の一実施形態によるウェブ保安管理装置でクライアントから受信された入力データの有効性を検証する方法を示したフローチャートである。
【0028】
クライアント100からウェブサーバ300に伝送する入力データを含む通信パケットが受信されると、ウェブ保安管理装置200は、有効性検証情報に含まれたフィールド特定情報を用いて、受信された通信パケットから入力データを獲得する(S161)。ここで、入力データを含む通信パケットは、本発明の追加的な態様によってアクションURL(Action URL)を含むことが望ましい。すなわち、ウェブ保安管理装置200は、クライアント100からウェブサーバ300に伝送する多数の通信パケットが受信されると、該受信された多数の通信パケットのうちアクションURLを含む通信パケットがあるかを検証する。
【0029】
該検証の結果、アクションURLを含む通信パケットであれば、ウェブ保安管理装置200は、有効性検証情報に含まれたフィールド特定情報を用いてアクションURLに含まれた入力データを獲得する。ここで、フィールド特定情報は、ウェブサーバ300に伝送するアクションURLに含まれた入力データが入力される範囲あるいは入力データとして使われるアルファベット、数字、特殊記号のように定義されたデータの種類であって、ウェブ保安管理装置200は、このようなフィールド特定情報を用いてクライアント100から受信された入力データを獲得する。
【0030】
ここで、アクションURLとは、Web文書に用いられるHTMLの標準的な構文であり、対応するWebサーバにFormが送信されると、Formのコンテンツを処理する特定のURLに導くFormタグの属性の1つである。
【0031】
以後、ウェブ保安管理装置200は、有効性検証情報に含まれた入力検証コード情報を用いて獲得された入力データが有効な情報であるか否かを検証する(S162)。ここで、入力検証コード情報は、獲得された入力データの入力範囲が正しいか、あるいは入力データがアルファベット、数字、特殊記号のようなデータの種類に合う有効な情報であるか否かを検証する有効性検証プログラムである。
【0032】
一実施形態によって、ウェブ保安管理装置200は、ウェブサーバ300から受信されたユーザ入力フォームを用いて入力データが有効であるか否かを検証するクライアント100に類似した方法で入力データが有効であるか否かを検証する。クライアント100から有効な情報であるか検証された入力データが獲得されると、ウェブ保安管理装置200は、入力検証コード情報を通じて入力データが有効であるか否かを再検証する。以後、ウェブ保安管理装置200は、入力検証コード情報を通じて再検証された入力データに対する検証結果値を通じて入力データの有効性の有無を検証する。
【0033】
該検証の結果、入力データが有効ではなければ、ウェブ保安管理装置200は、クライアント100から入力された入力データをエラー処理し、該エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送する。例えば、ハッカーは、クライアント100で自体的にクライアントサイドスクリプトを通じて有効性の有無が検証された入力データを改ざんする。それだけではなく、ハッカーは、自動的に偽造された入力データを生成させ、クライアントサイドスクリプトの検証を迂回して入力データをウェブサーバに伝送する。
【0034】
このように、ハッカーからSQLインジェクションを通じて改ざんまたは偽造された入力データが受信されると、ウェブ保安管理装置200は、前述したように入力検証コード情報を通じて受信された入力データの有効性の有無を再検証し、その結果、有効ではないものと検証されれば、受信された入力データをエラー処理する。この際、ウェブ保安管理装置200は、エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送することが望ましい。
【0035】
しかし、本発明によるウェブ保安管理装置100は、これに限定せず、エラー処理した入力データをリアルタイムで削除するかあるいはエラー処理した入力データを保存することができる。これにより、ウェブサーバ300は、ハッカーによって改ざんまたは偽造された入力データによるハッキングや、内部的なエラーの発生を防止することができる。
【0036】
一方、検証の結果、入力データが有効であれば、ウェブ保安管理装置200は、クライアント100から入力された入力データをウェブサーバ300に伝送する(S180)。これにより、ウェブサーバ300は、有効性が検証された入力データのみを受信して当該クライアント100と正常に通信を開始し、クライアント100は、当該ウェブサイトから提供するウェブサービスを利用する。以下では、本発明の一実施形態によるウェブ保安管理装置200のそれぞれの構成について詳しく説明する。
【0037】
図3は、本発明の一実施形態によるウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置に対する構成を示したブロック図である。
【0038】
ウェブ保安管理装置200は、送受信部210、パターン情報保存部220、検査部230、有効性検証処理部240、有効性検証情報保存部250、監視処理部260、エラー処理部270を含む。
【0039】
送受信部210は、多数のクライアント100から受信された通信パケットを当該ウェブサーバ300に伝送し、多数のウェブサーバ300から受信された通信パケットを当該クライアント100に伝送する。ここで、通信パケットは、多数のクライアント100がウェブサイトから提供するウェブサービスを利用するための利用関連情報である。そして、クライアント100は、一般ユーザが使うコンピュータとコンピュータに設けられているネットスケープまたはインターネットエクスプローラーのようなウェブブラウザーを言う。
【0040】
パターン情報保存部220は、ユーザ入力フォームと関連したパターン情報またはウェブサーバ300に伝送する入力データを含むパターン情報が保存される構成である。検査部230は、送受信部210を通じてウェブサーバ300またはクライアント100から通信パケットが受信されると、パターン情報保存部220に保存されたパターン情報を用いて受信された通信パケットがユーザ入力フォームと関連した通信パケットであるか、またはウェブサーバ300に伝送する入力データを含む通信パケットであるか否かを検査する。ここで、入力データを含む通信パケットは、本発明の追加的な態様によってアクションURL(Action URL)を含むことが望ましい。すなわち、検査部230は、ウェブサーバ300またはクライアント100から通信パケットが受信されると、パターン情報保存部220に保存されたパターン情報を用いて受信された通信パケットがユーザ入力フォームであるか、あるいは入力データを含んだアクションURLであるか否かを検査する。
【0041】
このような検査部230の検査結果によって、有効性検証処理部240と監視処理部260は動作を行う。検査部230の検査結果によって、ウェブサーバ300から受信された通信パケットがユーザ入力フォームであれば、有効性検証処理部240は、受信されたユーザ入力フォームを当該クライアント100に伝送する。ここで、ユーザ入力フォームは、ユーザのID、パスワードのようなユーザ情報を入力するためのHTMLで構成されたウェブページである。しかし、本発明は、これに限定されず、ユーザ入力フォームは、決済ウインドウや検索ウインドウなどに入力されるデータをサーバに伝送する一般的な様式を包括する。
【0042】
一方、有効性検証処理部240は、クライアント100に伝送するユーザ入力フォームで有効性検証情報を獲得して有効性検証情報保存部250に保存する。ここで、有効性検証情報は、クライアント100から入力されて受信された入力データが有効であるか否かを検証する情報であって、フィールド特定情報と入力検証コード情報とを含む。フィールド特定情報と入力検証コード情報は、下記で詳しく説明する。
【0043】
一方、検査部230の検査結果によって、クライアント100から受信された通信パケットが入力データを含むアクションURLであれば、監視処理部260は、有効性検証情報保存部250に保存された有効性検証情報を用いてクライアント100から受信されたアクションURLに含まれた入力データが有効であるか否かを検証する。ここで、クライアント100は、ユーザから入力された入力データが当該ビジネスロジックに適した入力データであるか否かを自動的に検証した後、ウェブサーバ300に伝送する入力データを含むアクションURLをウェブ保安管理装置200側に伝送する。このように有効性が検証された入力データを含むアクションURLが受信されると、監視処理部260は、入力データ獲得部262と入力データチェック部264とを通じて受信された入力データが有効であるか否かを検証する。
【0044】
入力データ獲得部262は、有効性検証情報に含まれたフィールド特定情報を用いてクライアント100から受信されたアクションURLから入力データを獲得する。入力データチェック部264は、有効性検証情報に含まれた入力検証コード情報を用いて入力データ獲得部262から獲得された入力データが有効な情報であるか否かを検証する。すなわち、ユーザ入力フォームを受信したクライアント100から有効性が検証された入力データを含むアクションURLが受信されると、監視処理部260の入力データ獲得部262は、有効性検証情報保存部250から受信されたアクションURLと関連した有効性検証情報を獲得する。
【0045】
以後、入力データ獲得部262は、獲得された有効性検証情報に含まれたフィールド特定情報を用いてクライアント100から受信されたアクションURLに含まれた入力データを獲得する。ここで、フィールド特定情報は、ウェブサーバ300に伝送するアクションURLに含まれた入力データが入力される範囲あるいは入力データとして使われるアルファベット、数字、特殊記号のように定義されたデータの種類であって、入力データ獲得部262は、このようなフィールド特定情報を用いてクライアント100から受信されたアクションURLから入力データを獲得する。
【0046】
このようなフィールド特定情報を用いて入力データが獲得されると、入力データチェック部264は、有効性検証情報に含まれた入力検証コード情報を用いて入力データが有効な情報であるか否かを検証する。ここで、入力検証コード情報は、獲得された入力データの入力範囲が正しいか、あるいは入力データがアルファベット、数字、特殊記号のようなデータの種類に合う有効な情報であるか否かを検証する有効性検証プログラムである。
【0047】
一実施形態によって、入力データチェック部264は、ウェブサーバ300から受信されたユーザ入力フォームを用いて入力データが有効であるか否かを検証するクライアント100に類似した方法で入力データが有効であるか否かを検証する。クライアント100から検証された入力データが獲得されると、ウェブ保安管理装置200は、入力検証コード情報を通じて入力データが有効であるか否かを再検証する。以後、ウェブ保安管理装置200は、入力検証コード情報を通じて再検証された入力データに対する検証結果値を通じて入力データの有効性の有無を検証する。
【0048】
入力データチェック部264を通じて入力データが有効ではないものと検証されれば、エラー処理部270は、クライアント100から受信された入力データをエラー処理する。この際、エラー処理部270は、エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送することが望ましい。例えば、ハッカーは、クライアント100で自体的にクライアントサイドスクリプトを通じて有効性の有無が検証された入力データを改ざんする。それだけではなく、ハッカーは、自動的に偽造された入力データを生成させ、クライアントサイドスクリプトの検証を迂回して入力データをウェブサーバに伝送する。
【0049】
このように、ハッカーからSQLインジェクションを通じて改ざんまたは偽造された入力データが受信されると、入力データチェック部264は、入力検証コード情報を通じて受信された入力データが改ざんまたは偽造されて有効ではないものと検証する。これにより、エラー処理部270は入力データをエラー処理し、該エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送する。
【0050】
しかし、本発明によるエラー処理部270は、これに限定せず、エラー処理した入力データをリアルタイムで削除するかあるいはエラー処理した入力データを保存することができる。このように、ウェブ保安管理装置200は、ウェブサーバ300に伝送する入力データに対する有効性の有無を検証することによって、ウェブサーバ300に改ざんされた入力データが受信されることを遮断することができる。
【0051】
以上、本発明についてその望ましい実施形態を中心に説明した。当業者は、本発明の本質的な特性から外れない範囲で変形された形態として具現可能であると理解できるであろう。したがって、開示された実施形態は限定的な観点ではなく、説明的な観点で考慮されなければならない。本発明の範囲は、特許請求の範囲に表われており、それと同等な範囲内にあるあらゆる差異は、本発明に含まれたものと解釈されなければならない。
【産業上の利用可能性】
【0052】
本発明は、ウェブサーバとクライアントとの間の通信を監視するウェブ保安管理装置及び方法関連の技術分野に適用可能である。
【符号の説明】
【0053】
100:クライアント
200:ウェブ保安管理装置
210:送受信部
220:パターン情報保存部
230:検査部
240:有効性検証処理部
250:有効性検証情報保存部
260:監視処理部
262:入力データ獲得部
264:入力データチェック部
270:エラー処理部
300:ウェブサーバ
【技術分野】
【0001】
本発明は、例えば、ファイアーウォールのようなウェブ保安技術に係り、特に、クライアントからウェブサーバに伝送するフォームに含まれた入力データの改ざんを通じたハッキングを遮断する技術に関する。
【背景技術】
【0002】
ウェブサーバは、クライアントのウェブサービス要求によって当該クライアントにウェブサーバから提供するユーザ入力フォームを伝送する。ウェブサーバから受信されたユーザ入力フォームにユーザID、パスワードのような入力データが入力されれば、クライアントは、当該ビジネスロジックに適した入力であるか否かを検証する。すなわち、クライアントは、クライアントサイドスクリプト(Client side script)を動作させて自動的に当該入力データが有効なデータであるか否かを検証する。
【0003】
ここで、クライアントサイドスクリプトは、クライアントで実行されるウェブ言語であって、例えば、入力データがテキスト及び数字と許容された一部特殊文字のみで構成された文字列であるか否かを検証するジャバスクリプト(Java scrpit)などになり得る。このようなクライアントサイドスクリプトを動作させて、ユーザ入力フォームに入力された入力データの有効性が検証されると、クライアントは有効性が検証された入力データを含むデータ入力フォームをウェブサーバに伝送して、ウェブサイトから提供されるウェブサービスを利用することが一般的なウェブサービスの過程である。
【0004】
しかし、このようなウェブサービスの過程を通じてクライアントから入力データを受信するウェブサーバは、SQLインジェクションのような形態の攻撃を意図する改ざんされた入力データを受信する危険に曝されている。例えば、ハッキング攻撃者(ハッカー)は、ウェブプロキシ(Web proxy)を通じてクライアントにおいて有効性の有無が検証されてウェブサーバに伝送される入力データを改ざんする。それだけではなく、ハッカーは、ブラウザーを経ずに自身が直接生成した入力データをクライアントサイドスクリプトの検証を迂回してウェブサーバに伝送する。
【0005】
これにより、ウェブサーバは、ハッカーによって改ざんされるか有効性の有無が検証されていない入力データを受信して、このデータが意図とは異なったSQLとして解析されてデータベースにアクセスするか、また他のシステムコマンドとして解析されてユーザ権限を変更してハッキング攻撃に曝される危機に陥ることがある。
【0006】
このように、ハッカーによって改ざんされるか有効性の有無が検証されていない入力データを受信したウェブサーバは、既に保存された多数のユーザの情報が外部に流出するなどのウェブハッキング事故が発生する問題がある。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、このような問題点を解決しようとするものであって、クライアントに受信されたユーザ入力フォームを悪用したハッカーの攻撃を遮断することを目的とする。
【0008】
さらに、本発明によるウェブ保安管理装置は、ウェブサーバに伝送される入力データの有効性の有無を検証することによって、ウェブサーバに改ざんされた入力データが伝送されてハッキングが発生しないようにすることを目的とする。
【課題を解決するための手段】
【0009】
前述した技術的課題は、後述する本発明の特徴的な態様によって達成される。本発明は、ウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視することで達成される。一態様によれば、クライアントから通信パケットが受信されると、通信パケットがウェブサーバに伝送する入力データを含む通信パケットであるか否かを検証し、該検証の結果、ウェブサーバに伝送する入力データを含む通信パケットであれば、入力データと関連したユーザ入力フォームの有効性検証情報を用いて入力データの有効性を検証し、該検証の結果、有効ではないデータであれば、入力データをエラー処理する。
【0010】
本発明の追加的な態様によれば、入力データを含む通信パケットは、アクションURL(Action URL)を含み、通信パケットであるか否かを検証するために、クライアントから受信された通信パケットがアクションURLであるか否かを検証する。
【0011】
本発明の追加的な態様によれば、本方法は、クライアントのウェブサービス要求によって、ウェブサーバから受信されたユーザ入力フォームをクライアント側に伝送し、ユーザ入力フォームの有効性検証情報を保存する。
【0012】
本発明の追加的な態様によれば、エラー処理は、クライアント側に入力データと関連したエラー情報メッセージを伝送する。
【0013】
本発明のこのような態様によってウェブ保安管理装置は、クライアントからウェブサーバに伝送する入力データが受信されると、該受信された入力データがハッカーによって改ざんされた入力データであるか否かを検証し、それによってエラーが検証されると、当該入力データに対するエラー情報をクライアントに伝送し、改ざんされた入力データがウェブサーバに伝送されるのを遮断することによって、攻撃によって意図的なウェブサーバハッキングを遮断することができる。
【0014】
本発明の追加的な態様によれば、入力データの有効性の検証は、有効性検証情報に含まれたフィールド特定情報を用いてアクションURLに含まれた入力データを獲得し、有効性検証情報に含まれた入力検証コード情報を用いて入力データが有効な情報であるか否かを検証する。
【0015】
本発明の追加的な態様によれば、フィールド特定情報は、アクションURLに含まれた入力データが入力される範囲あるいはアルファベット、数字、特殊記号のように、入力データとして使われるように定義されたデータの種類であり、入力検証コード情報は、フィールド特定情報を通じて獲得された入力データが有効な情報であるか否かを検証する有効性検証プログラムである。
【0016】
本発明のこのような態様によって、クライアント側からウェブサーバに伝送するアクションURLに含まれた入力データを獲得し、有効性検証プログラムを用いて獲得された入力データが有効であるか否かを検証することができる。
【発明の効果】
【0017】
本発明によるウェブサーバとクライアントとの間に設けられて相互間の通信を監視するウェブ保安管理装置及び方法は、ウェブ保安管理装置を通じてクライアントから入力された入力データが有効であるか否かを検証することによって、ウェブサーバにSQLインジェクションを通して改ざんされた入力データが受信されるのを遮断することができる。
【0018】
すなわち、ハッカーは、クライアントで自動的にクライアントサイドスクリプトを通じて有効性の有無が検証された入力データを改ざんする。それだけではなく、ハッカーは自動的に偽造された入力データを生成させ、クライアントサイドスクリプトの検証を迂回して入力データをウェブサーバに伝送する。この際、本発明によるウェブ保安管理装置は、ハッカーによって改ざんまたは偽造されたウェブサーバに伝送される入力データの有効性の有無を再検証することによって、ハッカーによって改ざんまたは偽造された入力データがウェブサーバに伝送されるのを遮断することができる。これにより、ウェブサーバは、改ざんされた入力データによるハッキング攻撃から保護されてウェブサーバ内のセキュリティーを向上させることができる。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施形態によるウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法を示したフローチャートである。
【図2】本発明の一実施形態によるウェブ保安管理装置でクライアントから受信された入力データの有効性を検証する方法を示したフローチャートである。
【図3】本発明の一実施形態によるウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置に対する構成を示したブロック図である。
【発明を実施するための形態】
【0020】
前述した、そして、追加的な本発明の態様は、添付した図面を参照して説明される望ましい実施形態を通じてさらに明確になる。以下では、本発明を、このような実施形態を通じて当業者が容易に理解して再現できるように詳しく説明する。
【0021】
図1は、本発明の一実施形態によるウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法を示したフローチャートである。
【0022】
図1に示されたように、クライアント100は、多数のウェブサイトのうち少なくとも一つのウェブサイトから提供するウェブサービスを利用するために、当該ウェブサイトのウェブサーバ300に接続を要求する(S100)。ここで、ウェブサーバ300に接続を要求するクライアント100は、一般ユーザが使うコンピュータとコンピュータに設けられているネットスケープまたはインターネットエクスプローラーのようなウェブブラウザーを言う。
【0023】
このようなクライアント100のウェブサーバ300への接続要求によって、ウェブ保安装置200は、接続を試みたクライアント100が当該ウェブサイトのウェブサーバ300に接続されるように接続要求情報を伝送する(S110)。接続要求情報を受信したウェブサーバ300は、クライアント100側に伝送するユーザ入力フォームをウェブ保安管理装置200に伝送する(S120)。
【0024】
ここで、ユーザ入力フォームは、ユーザのID、パスワードのようなユーザ情報を入力するためのHTML(Hyper Text Markup Language)で構成されたウェブページである。しかし、本発明は、これに限定されず、ユーザ入力フォームは、決済ウインドウや検索ウインドウなどに入力されるデータをサーバに伝送する一般的な様式を包括する。
【0025】
このようなユーザ入力フォームが受信されると、ウェブ保安管理装置200は、受信されたユーザ入力フォームをクライアント100に伝送する。この際、ウェブ保安管理装置200は、クライアント100に伝送するユーザ入力フォームに含まれた有効性検証情報を有効性検証情報保存部に保存する(S130、S140)。ここで、有効性検証情報は、クライアント100から入力されて受信された入力データが有効であるか否かを検証する情報であって、フィールド特定情報と入力検証コード情報とを含む。このようなフィールド特定情報と入力検証コード情報は、下記で詳しく説明する。
【0026】
一方、ウェブ保安管理装置200からユーザ入力フォームを受信したクライアント100は、ウェブサイトが提供するウェブサービスを利用するために、ウェブサーバ300に伝送するユーザのID、パスワードのようなユーザ情報が入力された入力データをウェブ保安管理装置200に伝送する(S150)。この際、クライアント100は、入力データが入力されると、自動的に当該ビジネスロジックに適した入力であるか否かを検証した後、入力データをウェブ保安管理装置200に伝送することが望ましい。以後、ウェブ保安管理装置200は、有効性検証情報保存部に保存された有効性検証情報を用いてクライアント100から受信された入力データの有効性を検証する(S160)。このように、ウェブ保安管理装置200が、クライアント100から受信された入力データの有効性を検証する方法は、図2に示すように実現することができる。
【0027】
図2は、本発明の一実施形態によるウェブ保安管理装置でクライアントから受信された入力データの有効性を検証する方法を示したフローチャートである。
【0028】
クライアント100からウェブサーバ300に伝送する入力データを含む通信パケットが受信されると、ウェブ保安管理装置200は、有効性検証情報に含まれたフィールド特定情報を用いて、受信された通信パケットから入力データを獲得する(S161)。ここで、入力データを含む通信パケットは、本発明の追加的な態様によってアクションURL(Action URL)を含むことが望ましい。すなわち、ウェブ保安管理装置200は、クライアント100からウェブサーバ300に伝送する多数の通信パケットが受信されると、該受信された多数の通信パケットのうちアクションURLを含む通信パケットがあるかを検証する。
【0029】
該検証の結果、アクションURLを含む通信パケットであれば、ウェブ保安管理装置200は、有効性検証情報に含まれたフィールド特定情報を用いてアクションURLに含まれた入力データを獲得する。ここで、フィールド特定情報は、ウェブサーバ300に伝送するアクションURLに含まれた入力データが入力される範囲あるいは入力データとして使われるアルファベット、数字、特殊記号のように定義されたデータの種類であって、ウェブ保安管理装置200は、このようなフィールド特定情報を用いてクライアント100から受信された入力データを獲得する。
【0030】
ここで、アクションURLとは、Web文書に用いられるHTMLの標準的な構文であり、対応するWebサーバにFormが送信されると、Formのコンテンツを処理する特定のURLに導くFormタグの属性の1つである。
【0031】
以後、ウェブ保安管理装置200は、有効性検証情報に含まれた入力検証コード情報を用いて獲得された入力データが有効な情報であるか否かを検証する(S162)。ここで、入力検証コード情報は、獲得された入力データの入力範囲が正しいか、あるいは入力データがアルファベット、数字、特殊記号のようなデータの種類に合う有効な情報であるか否かを検証する有効性検証プログラムである。
【0032】
一実施形態によって、ウェブ保安管理装置200は、ウェブサーバ300から受信されたユーザ入力フォームを用いて入力データが有効であるか否かを検証するクライアント100に類似した方法で入力データが有効であるか否かを検証する。クライアント100から有効な情報であるか検証された入力データが獲得されると、ウェブ保安管理装置200は、入力検証コード情報を通じて入力データが有効であるか否かを再検証する。以後、ウェブ保安管理装置200は、入力検証コード情報を通じて再検証された入力データに対する検証結果値を通じて入力データの有効性の有無を検証する。
【0033】
該検証の結果、入力データが有効ではなければ、ウェブ保安管理装置200は、クライアント100から入力された入力データをエラー処理し、該エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送する。例えば、ハッカーは、クライアント100で自体的にクライアントサイドスクリプトを通じて有効性の有無が検証された入力データを改ざんする。それだけではなく、ハッカーは、自動的に偽造された入力データを生成させ、クライアントサイドスクリプトの検証を迂回して入力データをウェブサーバに伝送する。
【0034】
このように、ハッカーからSQLインジェクションを通じて改ざんまたは偽造された入力データが受信されると、ウェブ保安管理装置200は、前述したように入力検証コード情報を通じて受信された入力データの有効性の有無を再検証し、その結果、有効ではないものと検証されれば、受信された入力データをエラー処理する。この際、ウェブ保安管理装置200は、エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送することが望ましい。
【0035】
しかし、本発明によるウェブ保安管理装置100は、これに限定せず、エラー処理した入力データをリアルタイムで削除するかあるいはエラー処理した入力データを保存することができる。これにより、ウェブサーバ300は、ハッカーによって改ざんまたは偽造された入力データによるハッキングや、内部的なエラーの発生を防止することができる。
【0036】
一方、検証の結果、入力データが有効であれば、ウェブ保安管理装置200は、クライアント100から入力された入力データをウェブサーバ300に伝送する(S180)。これにより、ウェブサーバ300は、有効性が検証された入力データのみを受信して当該クライアント100と正常に通信を開始し、クライアント100は、当該ウェブサイトから提供するウェブサービスを利用する。以下では、本発明の一実施形態によるウェブ保安管理装置200のそれぞれの構成について詳しく説明する。
【0037】
図3は、本発明の一実施形態によるウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置に対する構成を示したブロック図である。
【0038】
ウェブ保安管理装置200は、送受信部210、パターン情報保存部220、検査部230、有効性検証処理部240、有効性検証情報保存部250、監視処理部260、エラー処理部270を含む。
【0039】
送受信部210は、多数のクライアント100から受信された通信パケットを当該ウェブサーバ300に伝送し、多数のウェブサーバ300から受信された通信パケットを当該クライアント100に伝送する。ここで、通信パケットは、多数のクライアント100がウェブサイトから提供するウェブサービスを利用するための利用関連情報である。そして、クライアント100は、一般ユーザが使うコンピュータとコンピュータに設けられているネットスケープまたはインターネットエクスプローラーのようなウェブブラウザーを言う。
【0040】
パターン情報保存部220は、ユーザ入力フォームと関連したパターン情報またはウェブサーバ300に伝送する入力データを含むパターン情報が保存される構成である。検査部230は、送受信部210を通じてウェブサーバ300またはクライアント100から通信パケットが受信されると、パターン情報保存部220に保存されたパターン情報を用いて受信された通信パケットがユーザ入力フォームと関連した通信パケットであるか、またはウェブサーバ300に伝送する入力データを含む通信パケットであるか否かを検査する。ここで、入力データを含む通信パケットは、本発明の追加的な態様によってアクションURL(Action URL)を含むことが望ましい。すなわち、検査部230は、ウェブサーバ300またはクライアント100から通信パケットが受信されると、パターン情報保存部220に保存されたパターン情報を用いて受信された通信パケットがユーザ入力フォームであるか、あるいは入力データを含んだアクションURLであるか否かを検査する。
【0041】
このような検査部230の検査結果によって、有効性検証処理部240と監視処理部260は動作を行う。検査部230の検査結果によって、ウェブサーバ300から受信された通信パケットがユーザ入力フォームであれば、有効性検証処理部240は、受信されたユーザ入力フォームを当該クライアント100に伝送する。ここで、ユーザ入力フォームは、ユーザのID、パスワードのようなユーザ情報を入力するためのHTMLで構成されたウェブページである。しかし、本発明は、これに限定されず、ユーザ入力フォームは、決済ウインドウや検索ウインドウなどに入力されるデータをサーバに伝送する一般的な様式を包括する。
【0042】
一方、有効性検証処理部240は、クライアント100に伝送するユーザ入力フォームで有効性検証情報を獲得して有効性検証情報保存部250に保存する。ここで、有効性検証情報は、クライアント100から入力されて受信された入力データが有効であるか否かを検証する情報であって、フィールド特定情報と入力検証コード情報とを含む。フィールド特定情報と入力検証コード情報は、下記で詳しく説明する。
【0043】
一方、検査部230の検査結果によって、クライアント100から受信された通信パケットが入力データを含むアクションURLであれば、監視処理部260は、有効性検証情報保存部250に保存された有効性検証情報を用いてクライアント100から受信されたアクションURLに含まれた入力データが有効であるか否かを検証する。ここで、クライアント100は、ユーザから入力された入力データが当該ビジネスロジックに適した入力データであるか否かを自動的に検証した後、ウェブサーバ300に伝送する入力データを含むアクションURLをウェブ保安管理装置200側に伝送する。このように有効性が検証された入力データを含むアクションURLが受信されると、監視処理部260は、入力データ獲得部262と入力データチェック部264とを通じて受信された入力データが有効であるか否かを検証する。
【0044】
入力データ獲得部262は、有効性検証情報に含まれたフィールド特定情報を用いてクライアント100から受信されたアクションURLから入力データを獲得する。入力データチェック部264は、有効性検証情報に含まれた入力検証コード情報を用いて入力データ獲得部262から獲得された入力データが有効な情報であるか否かを検証する。すなわち、ユーザ入力フォームを受信したクライアント100から有効性が検証された入力データを含むアクションURLが受信されると、監視処理部260の入力データ獲得部262は、有効性検証情報保存部250から受信されたアクションURLと関連した有効性検証情報を獲得する。
【0045】
以後、入力データ獲得部262は、獲得された有効性検証情報に含まれたフィールド特定情報を用いてクライアント100から受信されたアクションURLに含まれた入力データを獲得する。ここで、フィールド特定情報は、ウェブサーバ300に伝送するアクションURLに含まれた入力データが入力される範囲あるいは入力データとして使われるアルファベット、数字、特殊記号のように定義されたデータの種類であって、入力データ獲得部262は、このようなフィールド特定情報を用いてクライアント100から受信されたアクションURLから入力データを獲得する。
【0046】
このようなフィールド特定情報を用いて入力データが獲得されると、入力データチェック部264は、有効性検証情報に含まれた入力検証コード情報を用いて入力データが有効な情報であるか否かを検証する。ここで、入力検証コード情報は、獲得された入力データの入力範囲が正しいか、あるいは入力データがアルファベット、数字、特殊記号のようなデータの種類に合う有効な情報であるか否かを検証する有効性検証プログラムである。
【0047】
一実施形態によって、入力データチェック部264は、ウェブサーバ300から受信されたユーザ入力フォームを用いて入力データが有効であるか否かを検証するクライアント100に類似した方法で入力データが有効であるか否かを検証する。クライアント100から検証された入力データが獲得されると、ウェブ保安管理装置200は、入力検証コード情報を通じて入力データが有効であるか否かを再検証する。以後、ウェブ保安管理装置200は、入力検証コード情報を通じて再検証された入力データに対する検証結果値を通じて入力データの有効性の有無を検証する。
【0048】
入力データチェック部264を通じて入力データが有効ではないものと検証されれば、エラー処理部270は、クライアント100から受信された入力データをエラー処理する。この際、エラー処理部270は、エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送することが望ましい。例えば、ハッカーは、クライアント100で自体的にクライアントサイドスクリプトを通じて有効性の有無が検証された入力データを改ざんする。それだけではなく、ハッカーは、自動的に偽造された入力データを生成させ、クライアントサイドスクリプトの検証を迂回して入力データをウェブサーバに伝送する。
【0049】
このように、ハッカーからSQLインジェクションを通じて改ざんまたは偽造された入力データが受信されると、入力データチェック部264は、入力検証コード情報を通じて受信された入力データが改ざんまたは偽造されて有効ではないものと検証する。これにより、エラー処理部270は入力データをエラー処理し、該エラー処理した入力データに対するエラーメッセージをクライアント100側に伝送する。
【0050】
しかし、本発明によるエラー処理部270は、これに限定せず、エラー処理した入力データをリアルタイムで削除するかあるいはエラー処理した入力データを保存することができる。このように、ウェブ保安管理装置200は、ウェブサーバ300に伝送する入力データに対する有効性の有無を検証することによって、ウェブサーバ300に改ざんされた入力データが受信されることを遮断することができる。
【0051】
以上、本発明についてその望ましい実施形態を中心に説明した。当業者は、本発明の本質的な特性から外れない範囲で変形された形態として具現可能であると理解できるであろう。したがって、開示された実施形態は限定的な観点ではなく、説明的な観点で考慮されなければならない。本発明の範囲は、特許請求の範囲に表われており、それと同等な範囲内にあるあらゆる差異は、本発明に含まれたものと解釈されなければならない。
【産業上の利用可能性】
【0052】
本発明は、ウェブサーバとクライアントとの間の通信を監視するウェブ保安管理装置及び方法関連の技術分野に適用可能である。
【符号の説明】
【0053】
100:クライアント
200:ウェブ保安管理装置
210:送受信部
220:パターン情報保存部
230:検査部
240:有効性検証処理部
250:有効性検証情報保存部
260:監視処理部
262:入力データ獲得部
264:入力データチェック部
270:エラー処理部
300:ウェブサーバ
【特許請求の範囲】
【請求項1】
ウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法において、
前記クライアントから通信パケットが受信されると、前記通信パケットが、前記ウェブサーバに伝送する入力データを含む通信パケットであるか否かを検証する段階と、
前記検証の結果、前記ウェブサーバに伝送する入力データを含む通信パケットであれば、前記入力データと関連したユーザ入力フォームの有効性検証情報を用いて、前記入力データの有効性を検証する段階と、
前記検証の結果、有効ではないデータであれば、前記入力データをエラー処理する段階と、
を含むことを特徴とするウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項2】
前記入力データを含む通信パケットは、
アクションURL(Action URL)を含み、
前記通信パケットであるか否かをチェックする段階は、前記クライアントから受信された通信パケットが、前記アクションURLであるか否かを検証することを特徴とする請求項1に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項3】
前記方法は、
前記クライアントのウェブサービス要求によって、前記ウェブサーバから受信された前記ユーザ入力フォームを前記クライアント側に伝送し、前記ユーザ入力フォームの有効性検証情報を保存する段階をさらに含むことを特徴とする請求項1に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項4】
前記エラー処理する段階は、
前記クライアント側に前記入力データと関連したエラー情報メッセージを伝送することを特徴とする請求項1に記載のウェブ保安管理装置を利用したウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項5】
前記入力データの有効性を検証する段階は、
前記有効性検証情報に含まれたフィールド特定情報を用いて、前記アクションURLに含まれた入力データを獲得する段階と、
前記有効性検証情報に含まれた入力検証コード情報を用いて、前記入力データが有効な情報であるか否かを検証する段階と、
を含むことを特徴とする請求項2に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項6】
前記フィールド特定情報は、
前記アクションURLに含まれた入力データが入力される範囲あるいはアルファベット、数字、特殊記号のように、前記入力データとして使われるように定義されたデータの種類であり、
入力検証コード情報は、
前記フィールド特定情報を通じて獲得された入力データが有効な情報であるか否かを検証する有効性検証プログラムであることを特徴とする請求項5に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項7】
ウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置において、
前記ウェブサーバ及び前記クライアントと通信パケットを送受信する送受信部と、
前記送受信部を通じて前記クライアントから受信された通信パケットが、前記ウェブサーバに伝送する入力データを含む通信パケットであれば、有効性検証情報保存部に保存された有効性検証情報を用いて、前記通信パケットに含まれた入力データが有効であるか否かを検証する監視処理部と、
前記検証の結果、前記入力データが有効ではないものと検証されると、前記入力データをエラー処理するエラー処理部と、
を含むことを特徴とするウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項8】
前記装置は、
前記送受信部を通じて前記ウェブサーバから受信された通信パケットがユーザ入力フォームであれば、前記ユーザ入力フォームを前記クライアントに伝送し、前記ユーザ入力フォーム情報に含まれた有効性検証情報を前記有効性検証情報保存部に保存する有効性検証処理部をさらに含むことを特徴とする請求項7に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項9】
前記入力データを含む通信パケットは、
アクションURL(Action URL)を含み、
前記装置は、
前記ユーザ入力フォームと関連したパターン情報または前記アクションURLと関連したパターン情報が保存されるパターン情報保存部と、
前記送受信部を通じて前記ウェブサーバまたは前記クライアントから通信パケットが受信されると、前記パターン情報保存部に保存されたパターン情報を用いて、前記受信された通信パケットがユーザ入力フォームであるかまたは前記入力データを含むアクションURLであるか否かを検査する検査部と、
をさらに含むことを特徴とする請求項8に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項10】
前記監視処理部は、
前記有効性検証情報に含まれたフィールド特定情報を用いて、前記入力データを獲得する入力データ獲得部と、
前記有効性検証情報に含まれた入力検証コード情報を用いて、前記入力データが有効な情報であるか否かを検証する入力データチェック部と、
を含むことを特徴とする請求項8に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項11】
前記フィールド特定情報は、
前記アクションURLに含まれた入力データが入力される範囲あるいはアルファベット、数字、特殊記号のように、前記入力データとして使われるように定義されたデータの種類であり、
入力検証コード情報は、
前記フィールド特定情報を通じて獲得された入力データが有効な情報であるか否かを検証する有効性検証プログラムであることを特徴とする請求項10に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項12】
前記エラー処理部は、
前記送受信部を通じて前記クライアント側に前記入力データと関連したエラーメッセージ情報を伝送することを特徴とする請求項7に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項1】
ウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法において、
前記クライアントから通信パケットが受信されると、前記通信パケットが、前記ウェブサーバに伝送する入力データを含む通信パケットであるか否かを検証する段階と、
前記検証の結果、前記ウェブサーバに伝送する入力データを含む通信パケットであれば、前記入力データと関連したユーザ入力フォームの有効性検証情報を用いて、前記入力データの有効性を検証する段階と、
前記検証の結果、有効ではないデータであれば、前記入力データをエラー処理する段階と、
を含むことを特徴とするウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項2】
前記入力データを含む通信パケットは、
アクションURL(Action URL)を含み、
前記通信パケットであるか否かをチェックする段階は、前記クライアントから受信された通信パケットが、前記アクションURLであるか否かを検証することを特徴とする請求項1に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項3】
前記方法は、
前記クライアントのウェブサービス要求によって、前記ウェブサーバから受信された前記ユーザ入力フォームを前記クライアント側に伝送し、前記ユーザ入力フォームの有効性検証情報を保存する段階をさらに含むことを特徴とする請求項1に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項4】
前記エラー処理する段階は、
前記クライアント側に前記入力データと関連したエラー情報メッセージを伝送することを特徴とする請求項1に記載のウェブ保安管理装置を利用したウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項5】
前記入力データの有効性を検証する段階は、
前記有効性検証情報に含まれたフィールド特定情報を用いて、前記アクションURLに含まれた入力データを獲得する段階と、
前記有効性検証情報に含まれた入力検証コード情報を用いて、前記入力データが有効な情報であるか否かを検証する段階と、
を含むことを特徴とする請求項2に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項6】
前記フィールド特定情報は、
前記アクションURLに含まれた入力データが入力される範囲あるいはアルファベット、数字、特殊記号のように、前記入力データとして使われるように定義されたデータの種類であり、
入力検証コード情報は、
前記フィールド特定情報を通じて獲得された入力データが有効な情報であるか否かを検証する有効性検証プログラムであることを特徴とする請求項5に記載のウェブサーバとクライアントとの間に設けられたウェブ保安管理装置で相互間の通信を監視する方法。
【請求項7】
ウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置において、
前記ウェブサーバ及び前記クライアントと通信パケットを送受信する送受信部と、
前記送受信部を通じて前記クライアントから受信された通信パケットが、前記ウェブサーバに伝送する入力データを含む通信パケットであれば、有効性検証情報保存部に保存された有効性検証情報を用いて、前記通信パケットに含まれた入力データが有効であるか否かを検証する監視処理部と、
前記検証の結果、前記入力データが有効ではないものと検証されると、前記入力データをエラー処理するエラー処理部と、
を含むことを特徴とするウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項8】
前記装置は、
前記送受信部を通じて前記ウェブサーバから受信された通信パケットがユーザ入力フォームであれば、前記ユーザ入力フォームを前記クライアントに伝送し、前記ユーザ入力フォーム情報に含まれた有効性検証情報を前記有効性検証情報保存部に保存する有効性検証処理部をさらに含むことを特徴とする請求項7に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項9】
前記入力データを含む通信パケットは、
アクションURL(Action URL)を含み、
前記装置は、
前記ユーザ入力フォームと関連したパターン情報または前記アクションURLと関連したパターン情報が保存されるパターン情報保存部と、
前記送受信部を通じて前記ウェブサーバまたは前記クライアントから通信パケットが受信されると、前記パターン情報保存部に保存されたパターン情報を用いて、前記受信された通信パケットがユーザ入力フォームであるかまたは前記入力データを含むアクションURLであるか否かを検査する検査部と、
をさらに含むことを特徴とする請求項8に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項10】
前記監視処理部は、
前記有効性検証情報に含まれたフィールド特定情報を用いて、前記入力データを獲得する入力データ獲得部と、
前記有効性検証情報に含まれた入力検証コード情報を用いて、前記入力データが有効な情報であるか否かを検証する入力データチェック部と、
を含むことを特徴とする請求項8に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項11】
前記フィールド特定情報は、
前記アクションURLに含まれた入力データが入力される範囲あるいはアルファベット、数字、特殊記号のように、前記入力データとして使われるように定義されたデータの種類であり、
入力検証コード情報は、
前記フィールド特定情報を通じて獲得された入力データが有効な情報であるか否かを検証する有効性検証プログラムであることを特徴とする請求項10に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【請求項12】
前記エラー処理部は、
前記送受信部を通じて前記クライアント側に前記入力データと関連したエラーメッセージ情報を伝送することを特徴とする請求項7に記載のウェブサーバとクライアントとの間に設けられて通信を監視するウェブ保安管理装置。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2010−250791(P2010−250791A)
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願番号】特願2009−170433(P2009−170433)
【出願日】平成21年7月21日(2009.7.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(509079972)パイオリンク・インコーポレイテッド (2)
【Fターム(参考)】
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願日】平成21年7月21日(2009.7.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
【出願人】(509079972)パイオリンク・インコーポレイテッド (2)
【Fターム(参考)】
[ Back to top ]