1月15日(月)1、2コマ目

今日、やったこと

サニタイジング

練習問題

今日のホワイトボード

サニタイジング

入力内容をそのまま出力するWebアプリケーションで

 <h3>コメント</h3>

と入力すると、見出しとして太文字で表示される。

出力時にHTMLのタグはそのまま出力せずに、<は&lt;に>は&gt;に置き換えて出力する必要がある。これがサニタイジング(無害化)。

図 サニタイジング

ソースコード

今日でやっと完成。全ソースコードをあげておきます。

[dtoパッケージ]Userクラス

ユーザー情報受け渡し用クラス。

[daoパッケージ]UserDAOクラス

ユーザーマスタテーブルアクセス用クラス。

[bllパッケージ]Serviceクラス

機能提供クラス。

[bllパッケージ]PasswordUtilクラス

パスワードハッシュ化。

[presentationパッケージ]IndexSrvクラス

1ページ目(ログインページ)用サーブレット。

[presentationパッケージ]UserInfoSrvクラス

2ページ目(ユーザー情報)用サーブレット。

[presentationパッケージ]AuthFilterクラス

認証済みかチェックするフィルタ。2ページ用サーブレット(UserInfoSrv)実行前に実行。

[exceptionパッケージ]NotFilledExceptionクラス

未入力項目がある際にスローする検査例外クラス。

[exceptionパッケージ]InvalidPasswordExceptionクラス

パスワード要件を満たさないときにスローする検査例外クラス。

[JSP]index.jsp

1ページ目(ログインページ)。

[JSP]userinfo.jsp

2ページ目(ユーザー情報)。

[JSP]error_500.jsp

HTTPのステータスコード500(サーバー内部エラー)返信時に表示するエラーページ。

[JSP]error_404.jsp

HTTPのステータスコード404(リクエストページがない)返信時に表示するエラーページ。

[設定ファイル]web.xml

エラーページの設定を行った。

DBのシーケンス

シーケンスは連続した番号を採番するためのオブジェクト。
図 シーケンス作成

シーケンスから採番

シーケンスから番号を取得することを”採番”と呼ぶ。
図 シーケンスから採番する
複数のクライアント(接続先)が同じシーケンスに採番しても、重複して採番することはない。

直近に採番した値を取得する

複数のクライアントが同じシーケンスから採番しても、クライアント毎に採番した値が管理されている。
図 直近に採番した値を取得する

次回は

きょうの練習問題の続き。
なお、今後は
  • Webアプリケーションのセキュリティの座学
  • テスト
を行う予定。このテストでセキュアプログラミングの評価を行う。今までにない一発勝負です。気をつけてください。





このブログの人気の投稿

1月12日(金)1、2コマ目

イメージ
今日、やったこと エラーページ フィルター 今日のホワイトボード エラーページ 例外スローの結果、エラーページをそのまま出力すると危険。 このエラーページには サーバーの種類(Tomcat)、バージョン プログラミング言語 DBの種類 等、色々な情報が含まれるため危険。 catchブロックを用意して、そのなかでエラーページを表示するようにすればいいが、Javaサーブレットにもデフォルトのエラーページを設定することができる。 図 エラーページの設定 ①設定ファイルweb.xmlを設定 エラーの種類(HTTPのステータスコード別、Javaの例外別)、エラーページが設定できる。 ②エラーページ作成 HTMLだけでなく、JSPも可。 なお、JSPでは暗黙オブジェクトexceptionが使える。exceptionはスローされた例外。 ただ、exceptionを使うにはエラーページであることを指定する必要あり。 エラーページへの遷移はフォワードで行われる。 よって、エラーページをWEB-INF/以下に置くことも可。 リダイレクトとフォワード いずれもページ遷移の仕組みだが、以下の違いがある。 フォワードはサーバー内で遷移先ページを読み込みクライアントへ返す=>1往復 リダイレクトはステータスコード302をクライアントに返して、クライアントが再リクエスト=>2往復 図 フォワードは1往復で遷移 図 リダイレクトは2往復で遷移 認証成功後のページ追加 認証に成功するとユーザー情報を表示する。流れは下図のようになる。 ...
続きを読む

1月29日(月)3、4コマ目

イメージ
今日、やったこと [やってみよう]バッファオーバーフロー 確認テスト 今日のホワイトボード [やってみよう]バッファオーバーフローその1 hasUpperCase()関数にはバッファオーバーフローの脆弱性がある。(13行目) main()関数にてhasUpperCase()を呼び出したときにスタック上に書き込まれるリターンアドレスを43行目のprintf()に書き換える。 プログラムの動き main()関数を逆アッセンブルすると以下のようになる。 図 main()を逆アッセンブルすると 通常はhasUpperCase()実行後、0x7f…400786番地に戻ってくるが、printf()実行の0x7f…4007aa番地に戻るようにスタックエリア上のリターンアドレスを書き換えればいい。 メモリの様子 hasUpperCase()実行時のスタックエリアの様子は以下のとおり。 図 hasUpperCase()実行時のメモリの様子 変数buffの先頭から40バイト離れた(41バイト目以降)ところにリターンアドレスが書き込まれている。ここをバッファオーバーフローで書き換える。 どうすればいい? どんな引数でもかならず”I DO NOT find UpperCase!”と出力するには、コマンドライン引数に40文字+リターンアドレスで実行すればいい。 [やってみよう]バッファオーバーフローその2 chkString()関数にはバッファオーバーフローの脆弱性がある。(23行目) main()関数にてchkString()を呼び出したときにスタック上に書き込まれるリターンアドレスを77行目のprintf()に書き換える。 プログラムの動き main()関数を逆アッセンブルすると以下のようになっている。 図 main()関数を逆アッセンブルすると 通常はchkString()実行後、0x7f…4007e2番地に戻ってくるが、printf()実行の0x7f…400817番地に戻るようにスタックエリア上のリターンアドレスを書き換えればいい。 メモリの様子 chkString()実行時のスタックエリアの様子は以下のとおり。 図 chkString()実行時のメモリの様子 その1と同じように変数buffの先頭から41バイト目にリターンアドレスが書き込まれる。ここを書き換えればいい。 どうすればい...
続きを読む

1月9日(火)1、2コマ目

イメージ
今日、やったこと パスワードのハッシュ化 今日のホワイトボード ユーザー認証 ユーザー認証はパスワードが使われるケースが多いが、パスワード以外にもユーザー認証に使えるモノがある。 図 認証に使えるモノ ポイントは「本人しか」。 パスワードの取り扱い 今までは便宜上DBにパスワードを平文で保存していた。が、これは一般的にはありえない話。本来はDB上のデータが漏洩しても即セキュリティインシデントにつながらないようにしなければならない。 図 パスワードの取り扱い 一般的にはパスワードをハッシュ化してDBに保存する。 ハッシュ化 ハッシュ化と暗号化は同じように元の平文が推測しずらい点では一緒。暗号化は元の平文に複合できるが、ハッシュ化された文字列を元の平文に戻すことはできない。 厳密に言えば、できないわけではないが、総当たり攻撃や辞書攻撃になるため、かなり長い時間がかかる。  図 ハッシュ化 ハッシュ化ソースコード PasswordUtil.java 文字列+ソルトをアルゴリズムSHA256で10,000回ハッシュ化してハッシュ値を生成する。 Main.java PasswordUtilクラスを使ってパスワード+ソルトのハッシュ値を生成させる。 ソルトは実行時の現在時刻のナノ秒部を利用。 ハッシュ化されたパスワードで認証するには DBにハッシュ化されたパスワードを保存する場合、認証は入力されたパスワードのハッシュ値とDBのハッシュ値を比較することになる。 図 ハッシュ化されたパスワードで...
続きを読む