[发明专利]安全强化装置

说明书

技术领域

本发明涉及一种安全强化装置，其能够防止在从应用服务器发送的对于 来自客户终端的请求的应答中包含的参数的泄漏以及篡改。

背景技术

现在，伴随因特网技术的发展，各种业务或者服务正作为能够从如Web 浏览器容易地利用的Web应用实现。该Web浏览器是在可与提供Web应用的 服务器(以下称“应用服务器”)通信连接的终端(以下称“客户终端”)上动 作的客户机软件。

例如，在购物站点上，使用者能够一边看在客户终端上显示的画面一边 进行商品的选择或订货，进而也可以用信用卡进行支付等。使用者通过送货上 门的公司等接收订购的商品，由此利用服务。

这样，近年来，Web应用的利用者例如能够在自家的家中享受各种服务。 在利用Web应用的场合，从客户终端发送为利用该Web应用的请求，从应用 服务器返回对于该请求的应答。亦即，通过在客户终端以及应用服务器之间进 行请求以及应答的收发，提供各种服务。在该请求以及应答中，包含在终端以 及应用服务器中的处理所需要的各种参数等。

但是，Web应用，有上述那样的便利性，另一方面，因为本来是无状态 (不具有状态的)结构所以被指出有许多脆弱性，有时引起信息泄漏的事故等。 这起因于在Web应用的安装中有不周全的地方，在Web应用的设计或者安装 时是否能够适当地处理，依赖于进行该设计或者安装的技术人员的技能。

将上述Web应用的脆弱性的大部分，分类为插入类、对话管理类、以及 参数不正当操作类。

所谓插入类的脆弱性，是指例如在从客户终端对于应用服务器发送的请 求中包含的参数中插入了不正当的字符串。

所谓对话管理类的脆弱性，是指例如不正当地操作了在请求或者应答中 包含的对话ID。该对话ID，例如是被用于实现客户终端以及应用服务器之间 的通信的同步。

另外，所谓参数不正当操作类，是指例如篡改在从应用服务器发送的应 答中包含的参数的信息后发送请求。

在这些之中，特别是对话管理类或者参数不正当操作类的脆弱性，需要 来自上位设计阶段的做入，在Web应用的运用开始后发觉的场合，需要通过 修改大量的程序来应对。

因此，公知有根据预先给定的规则置换例如在从客户终端对于应用服务 器发送的请求的参数(输入参数)中包含的不正当字符串来实现无害化的技术 (以下称第一先行技术)。

另外，公开了根据预先给定的规则过滤发往服务器的访问请求以及对应 该访问请求的访问应答的技术(以下称第二先行技术(参照日本国专利公开公 报2005-92564)。根据第二先行技术，接受对于访问请求的访问应答，在该 访问应答中存储的不正确的代码残留的场合，将它们删除。由此，根据第二先 行技术，能够从访问应答中删除预定的不正确的代码。

但是在上述的第一先行技术中，可应付的Web应用的脆弱性限于插入类， 对于其他的对话管理类以及参数不正当操作类的脆弱性不能够应付。因此，在 这些对话管理类以及参数不正当操作类的脆弱性显著存在的场合，需要修改大 量的程序。

另外，在上述的第二先行技术中，因为以不正确代码作为对象所以也只 能应付插入类的脆弱性的一部分。因此，对于对话管理类以及参数不正当操作 类的脆弱性需要修改大量的程序。

发明内容

本发明的目的在于提供一种安全强化装置，其无需变更运转中的应用的 安装，能够防止在从应用服务器发送的对于来自终端的请求的应答中包含的参 数的泄漏以及篡改。