JC
Uploaded byJPCERT Coordination Center
PDF, PPTX349 views

Javaセキュアコーディングセミナー東京第2回演習

Embed presentation

Download as PDF, PPTX
Javaセキュアコーディングセミナー東京 第2回 数値データの取扱いと入力値の検証 演習 2012年10月14日(日) JPCERTコーディネーションセンター 脆弱性解析チーム 戸田 洋三 1
‣Hands-on Exercises ‣ サンプルコード Unzip を修正しよう ‣ サンプルコード AltConst を修正しよう 2
Hands-on Exercise(1) サンプルコード Unzip を 修正しよう 3
ZipBombの影響を受けるコード例 class Unzip { static final int BUFFER = 512; public static void main(String[] args) throws FileNotFoundException,IOException { BufferedOutputStream dest = null; ZipInputStream zis = new ZipInputStream(new BufferedInputStream(new FileInputStream(args[0]))); ZipEntry entry; while ((entry = zis.getNextEntry()) != null){ System.out.println(“Extracting: “ + entry); int count; byte data[] = new byte[BUFFER]; FileOutputStream fos = new FileOutputStream(entry.getName()); dest = new BufferedOutputStream(fos, BUFFER); while ((count=zis.read(data,0,BUFFER)) != -1){ dest.write(data, 0, count); } dest.flush(); dest.close(); } zis.close(); } } 4
コード例 Unzip の問題点 (A) 解凍後のサイズをチェックしていない (B) 例外 ArrayIndexOutOfBoundsException が発生する可能性がある (C) 既存ファイルを上書きする可能性がある (D) その他? これらの問題点を解決せよ!! 5
Hands-on Exercise(2) サンプルコード AltConst を 修正しよう 6
Q. 以下のコードの問題点は何か? class AltConst { int i; AltConst(){ this(10); } AltConst(int i0){ if (checkarg(i0)) { this.i = i0; } } boolean checkarg(int i) throws IllegalArgumentException { if (i<0 || 100<i) { throw new IllegalArgumentException("arg should be positive < 100."); } return true; } (A) コンパイルエラーになる } (B) checkarg() による引数のチェックは役に立たない (C) コンストラクタが二つ定義されている (D) フィールド i に初期化子がない 7
A. 以下のコードの問題点は何か? class AltConst { int i; AltConst(){ this(10); } AltConst(int i0){ if (checkarg(i0)) { this.i = i0; } } boolean checkarg(int i) throws IllegalArgumentException { if (i<0 || 100<i) { throw new IllegalArgumentException("arg should be positive < 100."); } return true; } (A) コンパイルエラーになる } (B) checkarg() による引数のチェックは役に立たない (C) コンストラクタが二つ定義されている (D) フィールド i に初期化子がない 8
A. 以下のコードの問題点は何か? AltConst のサブクラスをつくることにより, checkarg() に よるチェックの後で, フィールド i の値を変更することができ る. class attack extends AltConst { attack(int arg) { super(); this.i = arg; } public static void main(String[] args) { AltConst a = new attack(101); System.out.println("attack.i: " + a.i); } } 9
A. 以下のコードの問題点は何か? AltConst のサブクラスをつくることにより, checkarg() に よるチェックの後でフィールド i の値を変更できる. class attack extends AltConst { attack(int arg) { super(); サブクラス化による攻撃への対 this.i = arg; 策を行え!! } public static void main(String[] args) { AltConst a = new attack(101); System.out.println("attack.i: " + a.i); } } 10

More Related Content

PPTX
An other world awaits you
by信之 岩永
 
PDF
ATLに見る魔術
byegtra
 
PPTX
async/await のしくみ
by信之 岩永
 
PPTX
Boost17 cpplinq
bymiki_hirofumi
 
PDF
Javaセキュアコーディングセミナー東京第2回演習の解説
byJPCERT Coordination Center
 
PDF
Async design with Unity3D
byKouji Hosoda
 
PDF
Slide
byTakefumi MIYOSHI
 
PDF
GC in C++0x
byyak1ex
 
An other world awaits you
by信之 岩永
 
ATLに見る魔術
byegtra
 
async/await のしくみ
by信之 岩永
 
Boost17 cpplinq
bymiki_hirofumi
 
Javaセキュアコーディングセミナー東京第2回演習の解説
byJPCERT Coordination Center
 
Async design with Unity3D
byKouji Hosoda
 
Slide
byTakefumi MIYOSHI
 
GC in C++0x
byyak1ex
 

What's hot

PDF
Visual C++コード分析を支えるSAL
byegtra
 
PDF
VerilatorとSystemC
byMr. Vengineer
 
PDF
llvm入門
byMITSUNARI Shigeo
 
PDF
Hello Dark-Side C# (Part. 1)
byYuto Takei
 
PDF
64ビット対応Dllインジェクション
byShinichi Hirauchi
 
PDF
Effective modern-c++#9
byTatsuki SHIMIZU
 
PDF
Effective Modern C++ 読書会 Item 35
byKeisuke Fukuda
 
PDF
TensorFlow XLA 「XLAとは、から、最近の利用事例について」
byMr. Vengineer
 
PDF
Javaセキュアコーディングセミナー東京第3回演習の解説
byJPCERT Coordination Center
 
PDF
Synthesijer and Synthesijer.Scala in HLS-friends 201512
byTakefumi MIYOSHI
 
PDF
C++ lecture-2
bysunaemon
 
PDF
Emcjp item21
byMITSUNARI Shigeo
 
PDF
emc++ chapter32
byTatsuki SHIMIZU
 
PDF
C++入門?
bytsudaa
 
PDF
Shibuya JVM Groovy 20150418
byUehara Junji
 
PPTX
LINQ 概要 + 結構便利な LINQ to XML
byShinichiAoyagi
 
PDF
Cloud TPU Driver API ソースコード解析
byMr. Vengineer
 
PDF
Emcjp item33,34
byMITSUNARI Shigeo
 
PDF
effective modern c++ chapeter36
byTatsuki SHIMIZU
 
Visual C++コード分析を支えるSAL
byegtra
 
VerilatorとSystemC
byMr. Vengineer
 
llvm入門
byMITSUNARI Shigeo
 
Hello Dark-Side C# (Part. 1)
byYuto Takei
 
64ビット対応Dllインジェクション
byShinichi Hirauchi
 
Effective modern-c++#9
byTatsuki SHIMIZU
 
Effective Modern C++ 読書会 Item 35
byKeisuke Fukuda
 
TensorFlow XLA 「XLAとは、から、最近の利用事例について」
byMr. Vengineer
 
Javaセキュアコーディングセミナー東京第3回演習の解説
byJPCERT Coordination Center
 
Synthesijer and Synthesijer.Scala in HLS-friends 201512
byTakefumi MIYOSHI
 
C++ lecture-2
bysunaemon
 
Emcjp item21
byMITSUNARI Shigeo
 
emc++ chapter32
byTatsuki SHIMIZU
 
C++入門?
bytsudaa
 
Shibuya JVM Groovy 20150418
byUehara Junji
 
LINQ 概要 + 結構便利な LINQ to XML
byShinichiAoyagi
 
Cloud TPU Driver API ソースコード解析
byMr. Vengineer
 
Emcjp item33,34
byMITSUNARI Shigeo
 
effective modern c++ chapeter36
byTatsuki SHIMIZU
 

Viewers also liked

PDF
脆弱性情報はこうしてやってくる
byJPCERT Coordination Center
 
DOCX
Resume
byMichele Jones
 
PPS
Impossível dizer adeus
byguestd53d60
 
PDF
Brahui bible genesis 1
byAsiaBibles
 
PPS
Te Cobri De Presentes
byguestd53d60
 
PPT
D O R E S D A A L M A
byguestd61629
 
脆弱性情報はこうしてやってくる
byJPCERT Coordination Center
 
Resume
byMichele Jones
 
Impossível dizer adeus
byguestd53d60
 
Brahui bible genesis 1
byAsiaBibles
 
Te Cobri De Presentes
byguestd53d60
 
D O R E S D A A L M A
byguestd61629
 

Similar to Javaセキュアコーディングセミナー東京第2回演習

PDF
Javaセキュアコーディングセミナー東京第1回 演習
byJPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第1回演習の解説
byJPCERT Coordination Center
 
PDF
Javaチョットデキルへの道〜JavaコアSDKに見る真似したいコード10選〜
byJustSystems Corporation
 
PPTX
Java Puzzlers JJUG CCC 2016
byYoshio Terada
 
PDF
Javaセキュアコーディングセミナー東京第4回講義
byJPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第1回 講義
byJPCERT Coordination Center
 
PDF
JDK7 Quiz... @ JavaOne報告会 at Tokyo
byEIICHI KIMURA
 
PDF
Java/Androidセキュアコーディング
byMasaki Kubo
 
PDF
Effective java 勉強会
byTakinami Kei
 
PDF
C# コーディングガイドライン 2013/02/26
byYoshihisa Ozaki
 
PDF
Javaセキュアコーディングセミナー東京第4回演習の解説
byJPCERT Coordination Center
 
PDF
Code complete ch22_developper_test
bySho Shimauchi
 
PDF
例外設計における大罪
byTakuto Wada
 
PDF
実践・最強最速のアルゴリズム勉強会 第一回 講義資料(ワークスアプリケーションズ & AtCoder)
byAtCoder Inc.
 
PPTX
保守しやすいコードの反面教師​ (アンチパターン) その1
bykeitasudo1
 
PDF
AtCoder Beginner Contest 008 解説
byAtCoder Inc.
 
PDF
Java puzzlers 2013 at JavaFesta Japan
byYoshio Terada
 
PDF
Sapporocpp#2 exception-primer
byKohsuke Yuasa
 
PDF
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
bynkazuki
 
PPTX
Project lambda
byAppresso Engineering Team
 
Javaセキュアコーディングセミナー東京第1回 演習
byJPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第1回演習の解説
byJPCERT Coordination Center
 
Javaチョットデキルへの道〜JavaコアSDKに見る真似したいコード10選〜
byJustSystems Corporation
 
Java Puzzlers JJUG CCC 2016
byYoshio Terada
 
Javaセキュアコーディングセミナー東京第4回講義
byJPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第1回 講義
byJPCERT Coordination Center
 
JDK7 Quiz... @ JavaOne報告会 at Tokyo
byEIICHI KIMURA
 
Java/Androidセキュアコーディング
byMasaki Kubo
 
Effective java 勉強会
byTakinami Kei
 
C# コーディングガイドライン 2013/02/26
byYoshihisa Ozaki
 
Javaセキュアコーディングセミナー東京第4回演習の解説
byJPCERT Coordination Center
 
Code complete ch22_developper_test
bySho Shimauchi
 
例外設計における大罪
byTakuto Wada
 
実践・最強最速のアルゴリズム勉強会 第一回 講義資料(ワークスアプリケーションズ & AtCoder)
byAtCoder Inc.
 
保守しやすいコードの反面教師​ (アンチパターン) その1
bykeitasudo1
 
AtCoder Beginner Contest 008 解説
byAtCoder Inc.
 
Java puzzlers 2013 at JavaFesta Japan
byYoshio Terada
 
Sapporocpp#2 exception-primer
byKohsuke Yuasa
 
"Puzzle-Based Automatic Testing: Bringing Humans into the Loop by Solving Puz...
bynkazuki
 
Project lambda
byAppresso Engineering Team
 

More from JPCERT Coordination Center

PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
byJPCERT Coordination Center
 
PDF
クロスサイトリクエストフォージェリ(CSRF)とその対策
byJPCERT Coordination Center
 
PDF
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
byJPCERT Coordination Center
 
PDF
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
byJPCERT Coordination Center
 
PDF
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
byJPCERT Coordination Center
 
PDF
Apache Axis2におけるXML署名検証不備
byJPCERT Coordination Center
 
PDF
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
byJPCERT Coordination Center
 
PDF
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
byJPCERT Coordination Center
 
PDF
Android Secure Coding
byJPCERT Coordination Center
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
byJPCERT Coordination Center
 
PDF
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
byJPCERT Coordination Center
 
PPTX
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
byJPCERT Coordination Center
 
PDF
DLL読み込みの問題を読み解く
byJPCERT Coordination Center
 
PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
PDF
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
byJPCERT Coordination Center
 
PDF
ソフトウェアセキュリティ保証成熟度モデル
byJPCERT Coordination Center
 
PDF
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
byJPCERT Coordination Center
 
PDF
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
byJPCERT Coordination Center
 
PDF
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
byJPCERT Coordination Center
 
PDF
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
byJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
byJPCERT Coordination Center
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
byJPCERT Coordination Center
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
byJPCERT Coordination Center
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
byJPCERT Coordination Center
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
byJPCERT Coordination Center
 
Apache Axis2におけるXML署名検証不備
byJPCERT Coordination Center
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
byJPCERT Coordination Center
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
byJPCERT Coordination Center
 
Android Secure Coding
byJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
byJPCERT Coordination Center
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
byJPCERT Coordination Center
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
byJPCERT Coordination Center
 
DLL読み込みの問題を読み解く
byJPCERT Coordination Center
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
byJPCERT Coordination Center
 
ソフトウェアセキュリティ保証成熟度モデル
byJPCERT Coordination Center
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
byJPCERT Coordination Center
 
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
byJPCERT Coordination Center
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
byJPCERT Coordination Center
 
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
byJPCERT Coordination Center
 

Javaセキュアコーディングセミナー東京第2回演習