Javaセキュアコーディングセミナー東京第1回演習の解説

Javaセキュアコーディングセミナー東京
第1回
オブジェクトの生成とセキュリティ
演習の解説

2012年9月9日(日)
JPCERTコーディネーションセンター
脆弱性解析チーム
戸田洋三

1

演習[1]

class Dog { (A)どのような出力が得られるか?
public static void bark() { (B) bark()メソッドがstatic宣言されて
System.out.print("woof");
} いない場合の出力は?
} (C)メソッドがどのように実行されて

class Bulldog extends Dog { いるか説明せよ
public static void bark() {}
}

public class Bark {
public static void main(String args[]) {
Dog d1 = new Dog();
Dog d2 = new Bulldog();
d1.bark();
d2.bark();
}
} ヒント
Java言語仕様 §15.12 Method Invocation Expressions

3

演習[1]
(A)どのような出力が得られるか?
$ java Bark
woofwoof$

(B) bark()メソッドがstatic宣言されて
いない場合の出力は?
$ java Bark
woof$

(C)メソッドがどのように実行されて
いるか説明せよ

4

コンパイラおよびVMによる処理

(2) コンパイル時のチェック
class Dog {
Dogのメソッドbark()は
public static void bark() {
System.out.print("woof"); static宣言されている
}
}
(3) 実行時処理
class Bulldog extends Dog { Dogのstaticメソッド
public static void bark() {} bark()を呼び出そう!
}

public class Bark {
Dog d1 = new Dog();
d1.bark();
d2.bark(); (1) コンパイル時のチェック
} - d1,d2どちらもDog型の変数
} - Dogのメソッドbark()があるのでOK

5

コンパイラおよびVMによる処理(staticメソッドでない場合)

(2) コンパイル時のチェック
class Dog {
Dogのメソッドbark()は
public void bark() {
System.out.print("woof"); virtual呼び出しだ
}
}
(3) 実行時処理
class Bulldog extends Dog { d1,d2が参照している
public void bark() {} インスタンスをチェック!
}

public class Bark { (4) 実行時処理
それぞれのインスタンスからって
Dog d1 = new Dog(); メソッドを呼び出そう!
d1.bark();
d2.bark(); (1) コンパイル時のチェック
} - d1,d2どちらもDog型の変数
} - Dogのメソッドbark()があるのでOK

6

演習[2]
(B) なぜこのような出力が得られたのか説明せよ.

class Point {
(C)適切な出力が得られるようにコードを修正せよ.
protected final int x, y;
private final String name;
protected String makeName() { return "[" + x + "," + y + "]"; }
public final String toString() { return name; }
Point(int x, int y) {
this.x = x; this.y = y;
this.name = makeName();
}
}

public class ColorPoint extends Point {
private final String color;
protected String makeName() { return super.makeName() + ":" + color; }
ColorPoint(int x, int y, String color) {
super(x, y);
this.color = color;
}
public static void main(String[] args) {
System.out.println(new ColorPoint(4, 2, "purple"));
}
} ヒント: Java言語仕様 §15.12 Method Invocation Expressions

8

演習[2]
$ java ColorPoint
[4,2]:null
$

(B) なぜこのような出力が得られたのか説明せよ.
→Point.toString() から出力
→name の値
→name には makeName() の返り値が代入されている

どの makeName() ?
つまり...
ColorPoint の makeName() サブクラスのインスタンスが初期
化される前にスーパークラスのコ
ンストラクタがサブクラスのメ
ソッドを呼び出した
9

実行の様子
class Point {
private final String name; // Cached at construction time
this.name = makeName(); (3) ColorPointの makeName() が呼び出される
}
}
(4) 初期化前の color にアクセス
super(x, y); (2) Pointのコンストラクタ呼出し
this.color = color;
} (5) ここでようやくcolorの初期化
}
}
(1) ColorPointのコンストラクタ呼出し

10

演習[2]

このコードの問題点:
初期化される前のcolorにアクセスしている
(その結果, デフォルト値の null が出力されている)

元々の意図は?
初期化された後のcolorの値を出力したい

(C)適切な出力が得られるようにコードを修正せよ.

11

どのように修正するか?
class Point {
private final String name; // Cached at construction time
this.name = makeName();
}
}

super(x, y);
this.color = color;
}
}
}

12

どのように修正するか?
class Point {
private String name; // 遅延初期化 (最初に使われたときにキャッシュされる)
public final synchronized String toString() {
return (name == null ? name = makeName() : name);
}
Point(int x, int y) { コンストラクタからの makeName() 呼び出し
} を避ける
}

super(x, y);
this.color = color;
}
}
}

13

演習[3]

class Purse {
private int i;

public Purse(int arg) {
i = arg;
}
public int get_i() { return i; }
public void set_i(int iarg) { i = iarg; }
}

class User {
private Purse p;
(A) User クラスのインスタンスを生成し,
public User(Purse arg) {
p = arg; その private フィールド p が参照する
} Purse インスタンスの持つ値を変更す
public Purse get_p() {
return p; る攻撃コードを書け.
} (B) (A) でつくった攻撃コードが動作しな
}
いように元のコードを修正せよ.
15

攻撃コード例

こんなことすると......
class dc {
public static void main(String[] args){
Purse newp = new Purse(9999);
User u = new User(newp);
System.out.println(u.get_p().get_i());
get_p() の返り値を使って u
Purse p = u.get_p();
の private フィールドをいじる
p.set_i(1099);
System.out.println(u.get_p().get_i()); ことができる

newp.set_i(999);
System.out.println(u.get_p().get_i());
}
}
コンストラクタに渡したオブジェクトを使って u の
private フィールドをいじることができる

16

修正例

class User {
private Purse p;
受け取ったオブジェクトはコ
public User(Purse arg) {
p = new Purse(arg.get_i()); ピーを作って使う.
}
public Purse get_p() {
return new Purse(p.get_i());
} 外に渡すオブジェクトはコ
} ピーを作って使う.

defensive copy : デフェンシブコピー

17

修正例(2) Purseクラスを公開する必要がなければ...

class User { Purse クラスを入れ子クラスと
して定義する. Purse の中身へ
private class Purse {
のアクセスは必ず User クラス
private int i;
Purse(int arg) { i = arg; } のメソッド経由とする.
int get_i() { return i; }
void set_i(int iarg) { i = iarg; }
}

private Purse p;
public User(int iarg) {
p = new Purse(iarg);
}
public int get_i() { return p.get_i(); }
public void set_i(int i) { p.set_i(i); }
}

18

演習[4]
class Authlet {
int i;
Authlet(int i0){
if (checkarg(i0)) { this.i = i0; }
}
boolean checkarg(int i) throws IllegalArgumentException {
if (i<0 || 100<i) {
throw
new IllegalArgumentException("arg should be positive < 100.");
}
class Auth {
return true;
private static Authlet a0;
}
}
public static void checkAuth(Authlet a){
if (a0 == null){
if (a == null){
System.out.println("invalid Authlet!");
System.exit(1);
}
a0 = a;
}
}
}
20

演習[4]
class useAuth {
Authlet au;
try {
au = new Authlet(Integer.parseInt(args[0]));
} catch(IllegalArgumentException ex){
au = null;
}
Auth.checkAuth(au); 訂正!
System.out.println("Authenticated!");
}
SecurityException ではなく
} IllegalArgumentException

(A) checkarg() による入力値チェックを回避する攻撃
コードを書け.
(B) (A) で書いた攻撃コードに対する対策を行え.

21

プログラムの動作を確認する
$ javac Authlet.java Auth.java useAuth.java
$ java useAuth
Exception in thread "main" java.lang.ArrayIndexOutOfBoundsException: 0
" at useAuth.main(useAuth.java:5)
$
コマンドライン引数が必要

$ java useAuth 101
invalid Authlet!
$
checkarg()の入力値検査でエラー

$ java useAuth 50
Authenticated!
$
checkarg()の検査をパス

22

Auth と Authlet の問題点
•Authlet のサブクラスをつくり, checkarg() の検査の後で
フィールド i の値を更新可能
•Auth.checkAuth()は Authlet のインスタンスの中身を
チェックしていない

•Authlet のサブクラスをつくり, フィールド i に任意の値を設
定したインスタンスを作成可能
•作成したインスタンスをAuth.checkAuth()にそのまま渡せば
認証される

攻撃コード
class exploitAuthlet extends Authlet {
exploitAuthlet(int e){
super(10); checkarg() の後で i の値を再設定
this.i = e;
}

exploitAuthlet eal = new exploitAuthlet(102);
Auth.checkAuth(eal);
useAuth.main(new String[]{“1000”});
}
} 不正な値で Authlet を作成, 登録

元のmain メソッドにはダミーの引数を渡す

24

exploitAuthlet の実行
$ javac exploitAuth.java
$ java exploitAuth
Authenticated!
$
値102のAuthletでパスしてしまう

対策
•Authlet のサブクラスをつくれないようにする
•フィールド i の値を再設定できないようにする
•Auth.checkAuth()で渡されたAuthletが持っている
値をチェックする

修正例
final class Authlet {
int i;
Authlet(int i0){
if (checkarg(i0)) { this.i = i0; }
}
boolean checkarg(int i) throws IllegalArgumentException {
if (i<0 || 100<i) {
throw
new IllegalArgumentException("arg should be positive < 100.");
}
class Auth {
return true;
private static Authlet a0;
}
}
public static void checkAuth(Authlet a){
if (a0 == null){
if (a == null){
System.out.println("invalid Authlet!");
System.exit(1);
}
a0 = a;
}
}
}
26

‣ (empty page)

27

Javaセキュアコーディングセミナー東京第1回演習の解説

More Related Content

What's hot (20)

Viewers also liked (8)

Similar to Javaセキュアコーディングセミナー東京第1回演習の解説 (20)

More from JPCERT Coordination Center (20)

Javaセキュアコーディングセミナー東京第1回演習の解説