1月17日(月)3、4コマ目

今日、やったこと

  • 入力チェック(HTML)
  • エラーページ
  • 入力内容の無害化(サニタイジング)
  • セッションオブジェクトについて
  • Cookieとセッション

今日のホワイトボード

入力チェック(HTML)

HTML5には以下の入力チェック機能が追加されている。

  • type属性に応じた入力値の制約
  • required属性で入力必須制約
  • pattern属性で入力値のパターンによる制約
  • min属性、max属性で入力値の範囲の制約
  • maxlength属性で入力値の長さを制約

詳細は各自調べてください。


エラーページ

いままでは実行時例外に対する処理をしていなかったため、エラー発生時にはスタックトレース画面が出力されていた。これはセキュリティ的に問題あり(サーバーのバージョンのようなサーバー環境がわかってしまう)のため、実行時例外発生時にはエラーページを表示するようにしたい。

設定ファイルweb.xmlでエラー毎のエラーページの設定ができる。

図 エラーページ

入力内容の無害化(サニタイジング)

ユーザーの入力内容をそのまま出力すると問題が発生するケースがある。
例えば、HTMLのタグが入力された場合、そのまま出力するとWebブラウザはタグとして表示してしまう。
これを防ぐため、入力内容を取得するときや出力するときに無害化(サニタイジング)を行う必要がある。
無害化(サニタイジング)は結構めんどくさいので、ライブラリを使ってください。
授業では「Apache common text」のStringEscapteUtilsクラスを利用しました。
「Apache common lang」にも同名のクラスがあるが、こちらは現在非推奨扱い。
図 無害化(サニタイジング)

作成中のアプリケーションを下図のように改造。
認証成功時はユーザー情報ページを表示する。
図 改造

セッションオブジェクト

サーバーのセッションオブジェクトはクライアント毎に個別に用意される。
各セッションオブジェクトにはセッションIDが付与されている。クライアントにもセッションIDが付与され、リクエストごとにサーバーに送信することで、サーバーはクライアントとセッションオブジェクトを紐づけている。

サーバーとクライアント間でのセッションIDのやり取りの際、盗聴されるとセッションIDが漏洩してしまい、最悪セッションハイジャックが発生する。
図 セッションとセッションID

セッションIDとCookie

Cookieとはクライアント(Webブラウザ)が情報を保存する仕組み。
クライアントはサーバーからセッションIDを受け取るとCookieに保存する。
図 CookieとセッションID

もしCookieのHttpOnly属性がFalseになっていると、JavaScriptから読み込み可能になり、クロスサイトスクリプティングでセッションIDを盗み出すことができる。
デフォルトではHttpOnly属性はTrueになっており、HTTPでのやりとりのときしかCookieを読み込むことができない。

セッションID漏洩対策

通信時の盗聴による漏洩には暗号化、総当たり攻撃等に対する対策はセッションIDをこまめに変更すること。セッションIDの変更にはセッション破棄、セッション再開を行うか、セッションID再取得用メソッド(changeSessionId()メソッド)を使う。









このブログの人気の投稿

1月20日(木)3、4コマ目

イメージ
今日、やったこと フィルター(javax.servlet.Filter)を使う 課題 今日のホワイトボード 非認証ユーザーはログインページしか表示しない 非認証ユーザーが認証済みユーザーが利用するページを直接リクエストした場合、強制的にログインページを表示するようにしたい。 図 非認証ユーザーにはユーザー情報ページは表示しない そもそもクライアントがアクセスできるのは WEB-INF以下は直接アクセスNG。サーブレットからフォワードして表示。 図 WEB-INF以下はクライアントから直接アクセスできない フィルター 各サーブレット、JSPで認証済みか否かをチェックすると、大量にある場合、非常にめんどくさい。そこで、フィルタを使えば、一か所でチェックができる。 図 フィルターで認証済みかチェック フィルターの例 課題 シーケンスについて 忘れていると思い、ちょこっと説明。 図 シーケンスについて   締め切りは1月27日(木)の4コマ目終了時。
続きを読む

1月6日(木)3、4コマ目

イメージ
今日、やったこと バッファオーバーフローでリターンアドレス書き換え 今日のホワイトボード プログラムを実行すると コンパイルで出力された実行ファイル(実行命令のリスト)がメモリ上のコード領域にロードされ、命令が順番に実行される。 図 コード領域に実行ファイルがロードされる 関数を呼び出すと コード領域にロードされた関数の命令リストへジャンプして関数を実行する。 関数実行後、呼び出し元に戻る。コード領域のどこに戻るかが、スタック上に書き込まれている。 このスタック領域の戻るべきアドレスをリターンアドレスと呼び、関数実行時に呼び出し元がスタック領域に書き込んでいる。 図 関数呼び出し時にスタック領域に書き込まれるデータ サンプルプログラムを確認 main()関数からcheck()関数を呼び出すときのメモリの状態をデバッガで確認。 ①コード領域のmain()関数をチェック 逆アセンブルすると、check()関数を呼び出す箇所がわかる。 図 main()を逆アセンブルした callqでcheck()関数を呼び出し、 0x00・・004007a5 番地に戻ってくる。 この 0x00・・004007a5 番地をリターンアドレスとしてスタック上に書き込む。 図 メモリ上のイメージ ②リターンアドレスが書き込まれる位置を確認 ブレークポイントで一時停止して確認すると、pass_buffの先頭から40バイト離れたところにリターンアドレスが書き込まれている。 図 デバッガでメモリ確認 図 メモリのイメージ ③リターンアドレスを上書きする このプログラムにはバッファオーバーフローの脆弱性があるため、リターンアドレスを上書きする。 上書きするアドレスはif()の条件成立時に実行するprintf()。 図 リターンアドレス書き換え済み C言語は危険 strcpy()以外にもコピー先のサイズに関係なくコピーする関数がある。 上限バイト数が指定できる関数を利用すること。 get -> fgets sprintf -> snprintf strcat -> strncat strcpy -> strncpy vsprintf -> vsnprintf サンプル...
続きを読む

1月13日(木)3、4コマ目

イメージ
今日、やったこと バッファオーバー確認テスト 安全なWebアプリ(入力チェック) 今日のホワイトボード 入力チェック「なぜ必要?」 基本的には入力内容が仕様に合うかどうかをチェックする。 入力チェックをする目的は単に「数値入力用フォームに文字が入力されたか」をチェックするだけではなく、 セキュリティ的な問題を発生させない目的もある 。 図 入力チェック「なぜ必要?」 入力チェック「どこで、どうやって」 サーバー側、クライアント側の両方で行うことが望ましい。 〇クライアント側 HTML5の<input>タグや<select>タグにはチェック機能がある。 JavaScriptも使える。ライブラリもある。 〇サーバー側 基本的にString型のデータをチェックすることになる。(getParameter()の戻り値はString) JDKのjava.lang.Stringクラスのメソッドだけではちょっとめんどくさい。 「Apache Commons Lang」ライブラリのStringUtilsクラスが便利。 ただし、ライブラリをプロジェクトに追加する必要あり(WEB-INF/lib以下にjarファイルをコピー) 図 入力チェック「どこで、どうやって」 入力チェック「パターンマッチング」 電話番号やメールアドレスはパターンマッチングでチェック。 パターンの表現には正規表現を使う。 図 正規表現 ASCII文字コード表を見ると、数字やアルファベットは連続して割り当てられている。そのため、[a-z]の範囲指定でアルファベット小文字を表現できる。 正規表現を使って文字列のパターンマッチングを行うにはStringクラスのmatches()メソッドを利用する。 パスワード要件チェック パスワード要件は  4文字以上の英数字、記号  。 正規表現で表すと以下のようになる。 図 パスワード要件を正規表現で表す  
続きを読む