1月5日(月)3コマ目

今日、やったこと

バッファオーバーフロー

今日のホワイトボード

この授業は

”セキュアプログラミング”と謳っているので、セキュリティ関係の話をします。

が、セキュリティは範囲が非常に広いため、プログラミングにまつわるセキュリティの話に限定。

さらに、インシデント件数の多いモノに限定。

図 授業で扱う内容

基本的に、どんな言語を使っても、どんなモノを作るにしても、

  • 知っておかなければならない
  • やってはいけない

ことを話します。


バッファオーバーフローの演習の準備

バッファオーバーフローはC言語のプログラムで良く発生するので、C言語の演習環境(コンパイラ、デバッガ)のコンテナを用意した。

用意したコンテナには、Zドライブにアクセスできるように”mountZコマンド”を仕込んである。

図 mountZコマンドでZドライブをマウント


バッファオーバーフローとは

おそらく、全員一度は1年生のときにやらかしていると思われる。

以下のように、確保したメモリエリアを超えて書き込みを行った際に発生する。

図 バッファオーバーフローが起きるプログラム

運が良ければ何も起きないが、運が悪ければ”Segmentation Fault”や”Bus Address Error”が発生して、プログラムの実行が停まる。

"運が良ければ何も起きない"は中途半端なテストではエラーにならないため、一番恐ろしい。

コンピュータのメモリ

コンピュータのメモリはOSが管理している。

プログラム実行に関係するのは下図の3つのエリア。

エリアに仕切りがあるわけではない。場合によってはエリアを使い果たしてしまう可能性もある。(いまどきのコンピュータはメモリが豊富にあるためまず起きないと思うけど)

図 メモリ上の3つのエリア


C言語のif

C言語には論理型(bool型)がない。

ifやwhileなどは カッコ内が0か否か で分岐する。

図 C言語とC#、Javaのifの違い

[バッファオーバーフロー]サンプルプログラム1

サンプルプログラム"bof_sample1.c"をデバッガ上で、引数"1234567890"で実行し、check()関数実行後のメモリの様子を確認。

ローカル変数password_bufferは"0x7ff・・fea30"番地から16バイトのエリアを使う。

このエリアに、引数で渡された"1234567890"が格納されていることが分かる。

図 ローカル変数password_bufferのエリア

2つのローカル変数、password_bufferとauth_flagの位置関係は下図のとおり。
図 2つのローカル変数のメモリ上の位置
2つのエリアに仕切りはなく、password_bufferの先頭から不注意な書き込みをすると、auth_flagのエリアを破壊できることが分かる。

次回は

バッファオーバーフローが発生したときのメモリを確認。









このブログの人気の投稿

1月13日(火)3コマ目

イメージ
今日、やったこと バッファオーバーフロー2(戻りアドレス書き換え) 今日のホワイトボード 前回はバッファオーバーフローの脆弱性を使って、関数の戻り値を変更した。 今回はバッファオーバーフローの脆弱性を使って、関数の戻りアドレスを変更する。 そもそもプログラムは コンパイルしてできた実行ファイルはメモリ上のコードエリアにロードされる。 関数を呼び出すと、コードエリアにロードされた命令を1つずつ、順に実行していく。 関数内の変数や引数のためのエリアは、関数呼び出し時にスタックエリア上に確保される。 サンプルプログラム2を実行する 前回のサンプルプログラム1の問題点を修正したサンプルプログラム2を実行する。 コマンドライン引数は、バッファオーバーフローが発生して、変数auth_flagのエリアを上書きしてしまう”12345678901234567890123456789"。 〇strcpy()実行前 変数auth_flagと配列pass_buffの位置を確認。 図 strcpy()実行後 〇return auth_flag実行前 前回のプログラムでは、変数auth_flagが上書きされているが、プログラムを修正したため、0になっている。 図 return auth_flag実行前 プログラムの実行コードを確認 デバッガのdisasコマンドを使って、実行ファイルからmain()関数をアセンブラに変換。 図 disasコマンドでアセンブラに変換 check()関数を呼び出す、main()関数に戻る 関数を呼び出す=関数がロードされている位置から実行する。 アセンブラで確認すると、main()関数でcheck()関数の呼び出すと、callqコマンドでcheck()関数がロードされているアドレスに移動している。 check()関数の実行が終わると、再びcallqコマンドの次のコマンドから順に実行する。 ここに戻ってこれるように、スタックエリアに戻るべきアドレス番地が記録されている。 これが戻りアドレス。 図 check()関数呼び出し、main()関数に戻る 戻りアドレスを書き換える main()関数にて、check()関数の戻り値に関わらず、下図のように別に位置から実行させたい。 図 check()関数から戻る位置を変える check()関数から戻る位置 下図のように...
続きを読む

2月2日(月)4コマ目

イメージ
今日、やったこと [Webアプリケーションのセキュリティ]Cookie 今日のホワイトボード 前回までに作成したxss検証用サイトアプリケーションを使って、Webアプリケーション構築時に知っておかなければならない、セキュリティ知識を紹介。 座学メインで進めます。眠い、つまらん、ダルいと思いますが、最後に紙のテストをしますので、しっかり理解をしてください。 Cookieとは クライアント(Webブラウザ)がデータを保存する仕組み。 サーバーから Set-cookie で送信されたデータを保存する。 クライアントはサーバーにリクエストする際、Cookie保存データを送信する。 図 クライアントがCookieを保存する、サーバーに送信する SessionオブジェクトとCookie 〇Sessionオブジェクト Webアプリケーションにおいて、リクエストを跨いでデータを共有できるのが、Sessionオブジェクト。 Sessionオブジェクトはクライアント毎に生成し、ユニークなセッションIDで識別する。 〇セッションID クライアントとサーバー間で同じセッションIDを保持し、クラインとはサーバーにリクエスト送信する際に、セッションIDを送信することで、サーバー側はクライアントのセッションオブジェクトを識別している。 図 セッションオブジェクトとセッションID 〇クライアントのセッションID保存先 クライアントのセッションID保存先はCookie。 サーバーがセッション開始後、クライアントにset-cookieでセッションIDを送信。 図 セッションIDをset-cookieで送信 クライアント側で、Cookieは簡単に書き換えできる。 CookieのセッションIDを書き換えて、他人のセッションを乗っ取ることもできる。(セッションハイジャック) クライアントはサーバーにCookieを送信する(Domain属性) クライアントはサーバーにリクエスト送信する際、Cookieを送信する。 が、なんでもかんでも送るわけではない。 CookieのDomain属性がリクエスト先のサーバー名と一致するなら送信。 図 CookieのDomain属性とリクエスト先サーバー名が一致するなら送信 Domain属性とリクエスト先サーバー名が一致する、しないは 後方一致 で判断。 ”後方一致する”を簡単...
続きを読む

2月10日(火)3コマ目

イメージ
今日、やったこと クロスサイトスクリプティング(XSS) 今日のホワイトボード クロスサイトスクリプティング(XSS) スクリプトがいつ、どこで埋め込まれるかで3種類に分類される。 サーバー側で埋め込まれるのは、反射型と蓄積型。 反射型はリクエストするURLにスクリプトが含まれる。 蓄積型はスクリプトはサーバー側に保存されている。 クライアント側で埋め込まれるのは、DOM-base型。 図 3種類のクロスサイトスクリプティング クロスサイトスクリプティングを防ぐには ブラウザにHTMLとして認識されないように、<や>をそのままブラウザに送らない。 この置き換えを サニタイジング と呼ぶ。 図 サニタイジング ユーザーが入力したデータを出力する際は、サニタイジングを行う。 次回は Webのセキュリティの残り(SQLインジェクション、その他) 次々回に紙のテストをします。 
続きを読む