Javaセキュアコーディングセミナー東京第2回演習の解説

18
1 Javaセキュアコーディングセミナー東京 2数値データの取扱いと入力値の検証 演習解説 20121014() JPCERTコーディネーションセンター 脆弱性解析チーム 戸田 洋三

Transcript of Javaセキュアコーディングセミナー東京第2回演習の解説

Page 1: Javaセキュアコーディングセミナー東京第2回演習の解説

1

Javaセキュアコーディングセミナー東京 第2回

数値データの取扱いと入力値の検証

演習解説

2012年10月14日(日)

JPCERTコーディネーションセンター

脆弱性解析チーム

戸田 洋三

Page 2: Javaセキュアコーディングセミナー東京第2回演習の解説

2

‣Hands-on Exercises ‣サンプルコード Unzip を修正しよう

‣サンプルコード AltConst を修正しよう

http://openclipart.org/detail/1305/roofer-by-johnny_automatic
Page 3: Javaセキュアコーディングセミナー東京第2回演習の解説

3

Hands-on Exercise(1)

‣サンプルコード Unzip を

‣修正しよう

http://openclipart.org/detail/1305/roofer-by-johnny_automatic
Page 4: Javaセキュアコーディングセミナー東京第2回演習の解説

4

ZipBombの影響を受けるコード例

class Unzip {

static final int BUFFER = 512;

public static void main(String[] args) throws FileNotFoundException,IOException {

BufferedOutputStream dest = null;

ZipInputStream zis =

new ZipInputStream(new BufferedInputStream(new FileInputStream(args[0])));

ZipEntry entry;

while ((entry = zis.getNextEntry()) != null){

System.out.println(“Extracting: “ + entry);

int count;

byte data[] = new byte[BUFFER];

FileOutputStream fos = new FileOutputStream(entry.getName());

dest = new BufferedOutputStream(fos, BUFFER);

while ((count=zis.read(data,0,BUFFER)) != -1){

dest.write(data, 0, count);

}

dest.flush();

dest.close();

}

zis.close();

}

}

Page 5: Javaセキュアコーディングセミナー東京第2回演習の解説

5

コード例 Unzip の問題点

(A) 解凍後のサイズをチェックしていない

(B) 例外 ArrayIndexOutOfBoundsException が発生する可能性がある

(C) 既存ファイルを上書きする可能性がある

(D) その他?

これらの問題点を解決せよ!!

Page 6: Javaセキュアコーディングセミナー東京第2回演習の解説

6

コード例 Unzip の問題点

(A) 解凍後のサイズをチェックしていない

(B) 例外 ArrayIndexOutOfBoundsException が発生する可能性がある

(C) 既存ファイルを上書きする可能性がある

(D) その他?

(A)の対応

セミナ内で説明済み

Page 7: Javaセキュアコーディングセミナー東京第2回演習の解説

7

コード例 Unzip の問題点

(A) 解凍後のサイズをチェックしていない

(B) 例外 ArrayIndexOutOfBoundsException が発生する可能性がある

(C) 既存ファイルを上書きする可能性がある

(D) その他? (B)の対応 例外 ArrayIndexOutOfBoundsException の発生原因は?

⇒ コマンドライン引数にファイル名が与えられることを想定しているため, 引数がない場合に例外が発生する

⇒ 引数の数をチェックしましょう

Page 8: Javaセキュアコーディングセミナー東京第2回演習の解説

8

コード例 Unzip の問題点

(A) 解凍後のサイズをチェックしていない

(B) 例外 ArrayIndexOutOfBoundsException が発生する可能性がある

(C) 既存ファイルを上書きする可能性がある

(D) その他?

あるいは…

引数の数だけ処理を繰り返す

(引数がなければそのまま終了)

(B)の対応 例外 ArrayIndexOutOfBoundsException の発生原因は?

⇒ コマンドライン引数にファイル名が与えられることを想定しているため, 引数がない場合に例外が発生する

⇒ 引数の数をチェックしましょう

Page 9: Javaセキュアコーディングセミナー東京第2回演習の解説

9

コード例 Unzip の問題点

(A) 解凍後のサイズをチェックしていない

(B) 例外 ArrayIndexOutOfBoundsException が発生する可能性がある

(C) 既存ファイルを上書きする可能性がある

(D) その他?

(C)の対応 ファイル出力の前に, すでにファイルが存在していないかどうかチェックする

Page 10: Javaセキュアコーディングセミナー東京第2回演習の解説

10

修正コード例(1/2)

class Unzip {

static final int TOOBIG = 10000000;

static final int BUFFER = 512;

public static void main(String[] args) throws FileNotFoundException,IOException {

if (args.length <= 0) return; BufferedOutputStream dest = null;

ZipInputStream zis =

new ZipInputStream(new BufferedInputStream(new FileInputStream(args[0])));

ZipEntry entry;

while ((entry = zis.getNextEntry()) != null){

if (entry.getSize () > TOOBIG) {

throw new IllegalStateException(

“uncompressed size too huge: “ + entry.getName());

}

if (entry.getSize() == -1){

throw new IllegalStateException(“uncompressed size unknown”);

}

(…次のページに続く…)

Page 11: Javaセキュアコーディングセミナー東京第2回演習の解説

11

修正コード例(2/2)

(… 前のページから…)

System.out.println(“Extracting: “ + entry);

int count;

byte data[] = new byte[BUFFER];

Path path = FileSystems.getDefault().getPath(entry.getName());

Files.createFile(path); // exception if file already exists FileOutputStream fos = new FileOutputStream(entry.getName());

dest = new BufferedOutputStream(fos, BUFFER);

while ((count=zis.read(data,0,BUFFER)) != -1){

dest.write(data, 0, count);

}

dest.flush();

dest.close();

}

zis.close();

}

}

Page 12: Javaセキュアコーディングセミナー東京第2回演習の解説

12

Hands-on Exercise(2)

‣サンプルコード AltConst を

‣修正しよう

http://openclipart.org/detail/1305/roofer-by-johnny_automatic
Page 13: Javaセキュアコーディングセミナー東京第2回演習の解説

13

class AltConst {

int i;

AltConst(){ this(10); }

AltConst(int i0){

if (checkarg(i0)) {

this.i = i0;

}

}

boolean checkarg(int i) throws IllegalArgumentException {

if (i<0 || 100<i) {

throw new IllegalArgumentException("arg should be positive < 100.");

}

return true;

}

}

Q. 以下のコードの問題点は何か?

(A) コンパイルエラーに なる

(B) checkarg() による引数のチェックは役に立たない

(C) コンストラクタが二つ定義されている

(D) フィールド i に初期化子がない

Page 14: Javaセキュアコーディングセミナー東京第2回演習の解説

14

class AltConst {

int i;

AltConst(){ this(10); }

AltConst(int i0){

if (checkarg(i0)) {

this.i = i0;

}

}

boolean checkarg(int i) throws IllegalArgumentException {

if (i<0 || 100<i) {

throw new IllegalArgumentException("arg should be positive < 100.");

}

return true;

}

}

A. 以下のコードの問題点は何か?

(A) コンパイルエラーに なる

(B) checkarg() による引数のチェックは役に立たない

(C) コンストラクタが二つ定義されている

(D) フィールド i に初期化子がない

Page 15: Javaセキュアコーディングセミナー東京第2回演習の解説

15

class attack extends AltConst {

attack(int arg) {

super();

this.i = arg;

}

public static void main(String[] args) {

AltConst a = new attack(101);

System.out.println("attack.i: " + a.i);

}

}

A. 以下のコードの問題点は何か?

AltConst のサブクラスをつくることにより, checkarg() によるチェックの後でフィールド i の値を変更できる.

Page 16: Javaセキュアコーディングセミナー東京第2回演習の解説

16

A. 以下のコードの問題点は何か?

class attack extends AltConst {

attack(int arg) {

super();

this.i = arg;

}

public static void main(String[] args) {

AltConst a = new attack(101);

System.out.println("attack.i: " + a.i);

}

}

サブクラス化による攻撃への対策を行え!!

AltConst のサブクラスをつくることにより, checkarg() によるチェックの後でフィールド i の値を変更できる.

Page 17: Javaセキュアコーディングセミナー東京第2回演習の解説

17

サブクラス化による攻撃への対策

A) サブクラスをつくれないように final クラスにする

B) 初期化後の i フィールドを変更されないよう final 宣言あるいは private 宣言する

B)の場合, checkarg() もオーバーライドされないように final 宣言すべし

Page 18: Javaセキュアコーディングセミナー東京第2回演習の解説

18

Altconst クラスに対するコメント

そもそも checkarg() メソッドって検証成功で true を返し, 検証失敗では例外を投げるってなんかアンバランスだよね.

検証結果を true/false で返すか, void型の

メソッドにして検証失敗のときは例外を投げるってしたほうがきれいだよね.

例外を投げるタイプだと, オブジェクトの

初期化が途中終了しちゃうからファイナライザ攻撃の危険あるかもね.


TLS, HTTP/2演習

TLS, HTTP/2演習

B 演習 ( 言語処理系演習 ) 第 8 回 評価器

B 演習 ( 言語処理系演習 ) 第 8 回 評価器

ML 演習 第 2 回

ML 演習 第 2 回

ML 演習 第 7 回

ML 演習 第 7 回

ML 演習 第 6 回

ML 演習 第 6 回

ML 演習 第 6 回

ML 演習 第 6 回

JavaScript 演習2...本日の内容 • prompt関数 • 演習1 • 演習2 • document.getElementById関数 • 演習3 • イベント処理 • 基本的なフォームdocument.write関数

JavaScript 演習2...本日の内容 • prompt関数 • 演習1 • 演習2 • document.getElementById関数 • 演習3 • イベント処理 • 基本的なフォームdocument.write関数

創造設計演習(S V演習)...目的 シミュレーション&ビジュアライジェーション演習では 個別要素法(DEM)のソースを基礎に、オリジナル

創造設計演習(S V演習)...目的 シミュレーション&ビジュアライジェーション演習では 個別要素法(DEM)のソースを基礎に、オリジナル

コンピュータ演習 Ⅰ

コンピュータ演習 Ⅰ

メディアデザイン論・演習2015-01 ガイダンス

メディアデザイン論・演習2015-01 ガイダンス

ML 演習 第 4 回

ML 演習 第 4 回

Dynamic Access Control 演習編

Dynamic Access Control 演習編

マッシュアップ プログラミング演習演習の課題:マッシュアップとは?• マッシュアップ(Webプログラミング) 3 2020/12/02 ウェブコンピューティング-プログラミング演習-

マッシュアップ プログラミング演習演習の課題:マッシュアップとは?• マッシュアップ(Webプログラミング) 3 2020/12/02 ウェブコンピューティング-プログラミング演習-

腦 , 演化 ,學習

腦 , 演化 ,學習

2020年度 - Seisa Dohto University · 2020. 4. 7. · 6200502 スタートアップ演習 前期集中 6200503 スタートアップ演習 1Q 6200504 スタートアップ演習

2020年度 - Seisa Dohto University · 2020. 4. 7. · 6200502 スタートアップ演習 前期集中 6200503 スタートアップ演習 1Q 6200504 スタートアップ演習

e- ビジネスソフトウェア論 JavaScript 演習③

e- ビジネスソフトウェア論 JavaScript 演習③

Guide book H1-H4 2021 0427 web...地域プロジェクト演習Ⅱ(応用演習) デザイン演習 観光調査演習 運輸 5% 生活関連 サービス 23% 金融 1% 不動産

Guide book H1-H4 2021 0427 web...地域プロジェクト演習Ⅱ(応用演習) デザイン演習 観光調査演習 運輸 5% 生活関連 サービス 23% 金融 1% 不動産

モバイルとGPS 演習

モバイルとGPS 演習

プロジェクト演習 Ⅱ インタラクティブゲーム制作

プロジェクト演習 Ⅱ インタラクティブゲーム制作

KURUME NATIONAL COLLEGE OF TECHNOLOGY · 実践英語Ⅰ 演習 1 1 実践英語Ⅱ 演習 1 1 実践英語Ⅲ 演習 2 2 環境倫理学 講義 2 2 産業デザイン演習 演習

KURUME NATIONAL COLLEGE OF TECHNOLOGY · 実践英語Ⅰ 演習 1 1 実践英語Ⅱ 演習 1 1 実践英語Ⅲ 演習 2 2 環境倫理学 講義 2 2 産業デザイン演習 演習