1月12日(金)1、2コマ目

今日、やったこと

エラーページ

フィルター

今日のホワイトボード

エラーページ

例外スローの結果、エラーページをそのまま出力すると危険。

このエラーページには

  • サーバーの種類(Tomcat)、バージョン
  • プログラミング言語
  • DBの種類

等、色々な情報が含まれるため危険。

catchブロックを用意して、そのなかでエラーページを表示するようにすればいいが、Javaサーブレットにもデフォルトのエラーページを設定することができる。

図 エラーページの設定

①設定ファイルweb.xmlを設定

エラーの種類(HTTPのステータスコード別、Javaの例外別)、エラーページが設定できる。

②エラーページ作成

HTMLだけでなく、JSPも可。

なお、JSPでは暗黙オブジェクトexceptionが使える。exceptionはスローされた例外。

ただ、exceptionを使うにはエラーページであることを指定する必要あり。


エラーページへの遷移はフォワードで行われる。

よって、エラーページをWEB-INF/以下に置くことも可。


リダイレクトとフォワード

いずれもページ遷移の仕組みだが、以下の違いがある。

  • フォワードはサーバー内で遷移先ページを読み込みクライアントへ返す=>1往復
  • リダイレクトはステータスコード302をクライアントに返して、クライアントが再リクエスト=>2往復


図 フォワードは1往復で遷移

図 リダイレクトは2往復で遷移

認証成功後のページ追加

認証に成功するとユーザー情報を表示する。流れは下図のようになる。
図 サーブレットとページ表示のながれ

エラー「レスポンスをコミットした後でリダイレクトできません」

認証に成功したとき、2ページ目(UserInfoSrv)にリダイレクトする。
ただ、プログラムは続きがあり、最終的にフォワードしている。これがエラーの原因。
図 エラー「レスポンスをコミットした後でリダイレクトできません」

リダイレクトしたらそこでdoPost()メソッドを終了させればいい。
いいやり方ではないが、リダイレクトのあとreturnでdoPost()から抜け出している。


認証済みユーザーのみ表示させたい

2ページ目のユーザー一覧は認証済みユーザーのみ表示させたい。
ブラウザに直接2ページ目のURLを入力してアクセスしても1ページ目(ログインページ)に飛ばしたい。
2ページ目表示の入り口になるサーブレット(UserInfoSrv)にアクセスしたとき、認証済みかチェックすればいい。これを実現するフィルターがある。
図 フィルターで認証済みかチェック

フィルター

doFilter()メソッド内で認証済みかチェック実行。
ちょっとめんどくさいのはdoFilter()の引数request、responseがサーブレットと異なるところ。セッションオブジェクトの取得(getSession())、リダイレクト(sendRedirect())をするにはキャストが必要。

引数 サーブレットでの型 フィルターでの型
request HttpServletRequest ServletRequest
response HttpServletResponse ServletResponse

今日のソードコード

差分をあげておきます。

[dtoパッケージ]Userクラス

ユーザー情報受け渡し用クラス。

[daoパッケージ]UserDAOクラス

ユーザー情報取得用findByName()追加。

[bllパッケージ]Serviceクラス

ユーザー情報取得用getUser()追加。
中身はUserDAOのfindByName()呼び出しと例外処理だけ。

[bllパッケージ]PasswordUtilクラス

変更なし

[exceptionパッケージ]InvalidPassordException、NotFilledExceptionクラス

変更なし

[presentationパッケージ]IndexSrvクラス

認証成功時にユーザー情報取得、2ページ目への移動を追加。

[presentationパッケージ]UserInfoSrvクラス

2ページの入り口になるサーブレット。
doGet()でuserinfo.jspへフォワードするだけ。

[presentationパッケージ]AuthFilterクラス

認証済みかチェックをするフィルター。
サーブレットUserInfoSrvが呼び出されたとき、このフィルターが先に実行される。

[JSP]index.jsp

変更なし

[JSP]userinfo.jsp

2ページ目のユーザー情報表示用ページ。

[JSP]error_404.jsp

存在しないページがリクエストされたとき(ステータスコード404)に表示するエラーページ。表示自体は自動的にやってくれる。

[JSP]error_500.jsp

サーバー内部エラー(Javaのプログラム実行時のエラー)発生時(ステータスコード500)に表示するエラーページ。表示自体は自動的にやってくれる。

[設定ファイル]web.xml

ステータスコード404(存在しないページをリクエスト)、ステータスコード500(サーバー内部エラー)のエラーページを設定。

次回は

サニタイジング。これでサンプルアプリは完成。

このブログの人気の投稿

1月29日(月)3、4コマ目

イメージ
今日、やったこと [やってみよう]バッファオーバーフロー 確認テスト 今日のホワイトボード [やってみよう]バッファオーバーフローその1 hasUpperCase()関数にはバッファオーバーフローの脆弱性がある。(13行目) main()関数にてhasUpperCase()を呼び出したときにスタック上に書き込まれるリターンアドレスを43行目のprintf()に書き換える。 プログラムの動き main()関数を逆アッセンブルすると以下のようになる。 図 main()を逆アッセンブルすると 通常はhasUpperCase()実行後、0x7f…400786番地に戻ってくるが、printf()実行の0x7f…4007aa番地に戻るようにスタックエリア上のリターンアドレスを書き換えればいい。 メモリの様子 hasUpperCase()実行時のスタックエリアの様子は以下のとおり。 図 hasUpperCase()実行時のメモリの様子 変数buffの先頭から40バイト離れた(41バイト目以降)ところにリターンアドレスが書き込まれている。ここをバッファオーバーフローで書き換える。 どうすればいい? どんな引数でもかならず”I DO NOT find UpperCase!”と出力するには、コマンドライン引数に40文字+リターンアドレスで実行すればいい。 [やってみよう]バッファオーバーフローその2 chkString()関数にはバッファオーバーフローの脆弱性がある。(23行目) main()関数にてchkString()を呼び出したときにスタック上に書き込まれるリターンアドレスを77行目のprintf()に書き換える。 プログラムの動き main()関数を逆アッセンブルすると以下のようになっている。 図 main()関数を逆アッセンブルすると 通常はchkString()実行後、0x7f…4007e2番地に戻ってくるが、printf()実行の0x7f…400817番地に戻るようにスタックエリア上のリターンアドレスを書き換えればいい。 メモリの様子 chkString()実行時のスタックエリアの様子は以下のとおり。 図 chkString()実行時のメモリの様子 その1と同じように変数buffの先頭から41バイト目にリターンアドレスが書き込まれる。ここを書き換えればいい。 どうすればい...
続きを読む

1月9日(火)1、2コマ目

イメージ
今日、やったこと パスワードのハッシュ化 今日のホワイトボード ユーザー認証 ユーザー認証はパスワードが使われるケースが多いが、パスワード以外にもユーザー認証に使えるモノがある。 図 認証に使えるモノ ポイントは「本人しか」。 パスワードの取り扱い 今までは便宜上DBにパスワードを平文で保存していた。が、これは一般的にはありえない話。本来はDB上のデータが漏洩しても即セキュリティインシデントにつながらないようにしなければならない。 図 パスワードの取り扱い 一般的にはパスワードをハッシュ化してDBに保存する。 ハッシュ化 ハッシュ化と暗号化は同じように元の平文が推測しずらい点では一緒。暗号化は元の平文に複合できるが、ハッシュ化された文字列を元の平文に戻すことはできない。 厳密に言えば、できないわけではないが、総当たり攻撃や辞書攻撃になるため、かなり長い時間がかかる。  図 ハッシュ化 ハッシュ化ソースコード PasswordUtil.java 文字列+ソルトをアルゴリズムSHA256で10,000回ハッシュ化してハッシュ値を生成する。 Main.java PasswordUtilクラスを使ってパスワード+ソルトのハッシュ値を生成させる。 ソルトは実行時の現在時刻のナノ秒部を利用。 ハッシュ化されたパスワードで認証するには DBにハッシュ化されたパスワードを保存する場合、認証は入力されたパスワードのハッシュ値とDBのハッシュ値を比較することになる。 図 ハッシュ化されたパスワードで...
続きを読む