This assignment concerns vulnerabilities in a software application, and how they can be fixed. You should be able to do the work on any machine that has the Java Development Kit installed.

We recommend that you do the assignment in pairs, though you may work on your own if you prefer. If you choose to work in a pair, please notify us of the members of the pair using the form provided for this purpose. A link & QR code for the form is available in Minerva. If you work in a pair, each member will receive the same mark for the assignment.

This assigment is worth 15% of your overall grade.

The Scenario

You are provided with the source code of a Java application in patients.zip. This is a crude attempt by an inexperienced developer to implement part of a patient records system. The idea is that GPs in a surgery can log in to the application and search for details of patients that they are currently treating.

The application uses Jetty as a built-in web server.  Request processing is done by a Java Servlet.  Data storage is provided by anSQLite 3database, and queries of the database are done usingJDBC. HTML pages are generated using theFreemarkertemplate engine.

Tasks

Analysis of Security Flaws

1. Examine the database used by the application.  Amongst other things, this will give you the login credentials and patient details that you need to test the application.

You can do this on the command line using the sqlite3 tool: the .schema command will tell you the structure of the database and you can issue SQL queries at the command prompt to examine its contents. You can exit the tool with .quit.

If you prefer a tool with a GUI, there are many available—e.g.,DB Browser.

2. Compile and run the application from the command line using ./gradlew  run

(On Windows, omit the leading ./)

3. Visit http://localhost:8080 in a web browser to interact with the application. Use the information obtained in Step 1 to explore different paths through the application.

4. Experiment with the web interface to identify any security issues. Make a note of precisely what the issues are and how you identified them.

5. Study the source code of the application if necessary to gain further insight into the application’s security flaws.

6. Create a report using a word processor or other documentation preparation tool of your choice. Give your report the title ‘COMP3911 Coursework 2’ and include your name as author, or both of your names if you worked in a pair.

Under a section heading ‘Analysis of Flaws’, write down a list of all the flaws you have discovered, describing each with a single sentence.

Then pick two of the discovered flaws to discuss in more detail.  For each choice, create a suitable subsection heading, under which you should describe the nature of the flaw and how you discovered it, providing examples or evidence where appropriate.

The entire ‘Analysis of Flaws’ section should be no more than two A4 pages in length. The contents of this section are worth a total of 18 marks.