数字类型的不正确转换漏洞
本期主題為數(shù)字類型的不正確轉(zhuǎn)換導(dǎo)致漏洞的相關(guān)介紹。
一、什么是數(shù)字類型的不正確轉(zhuǎn)換?
從一種數(shù)據(jù)類型轉(zhuǎn)換為另一種數(shù)據(jù)類型(例如從long到int )時(shí),會(huì)忽略部分?jǐn)?shù)據(jù),造成精度損失,甚至產(chǎn)生不可預(yù)期的數(shù)值。如果在敏感的上下文中使用結(jié)果值,則可能會(huì)發(fā)生危險(xiǎn)行為。
二、數(shù)字類型的不正確轉(zhuǎn)換構(gòu)成條件有哪些?
滿足以下條件,就構(gòu)成了一個(gè)該類型的安全漏洞:
將一個(gè)數(shù)值從一種類型強(qiáng)制轉(zhuǎn)換為另一種類型,而又超出了目標(biāo)類型的表示范圍,結(jié)果就會(huì)截?cái)喑梢粋€(gè)完全不同的值。
三、數(shù)字類型的不正確轉(zhuǎn)換會(huì)造成哪些后果?
該程序可能會(huì)使用錯(cuò)誤的數(shù)字結(jié)束并生成錯(cuò)誤的結(jié)果。如果該數(shù)字用于分配資源或做出安全決策,則可能會(huì)引入漏洞。
四、數(shù)字類型的不正確轉(zhuǎn)換的防范和修補(bǔ)方法有哪些?
1.避免在數(shù)字類型之間進(jìn)行轉(zhuǎn)換;
2.始終檢查允許的范圍。
五、數(shù)字類型的不正確轉(zhuǎn)換漏洞樣例:
??
用?上述程序代碼,則可以發(fā)現(xiàn)代碼中存在著“數(shù)字類型的不正確轉(zhuǎn)換” 導(dǎo)致的代碼缺陷,如下圖:
??
數(shù)字類型的不正確轉(zhuǎn)換在CWE中被編號(hào)為CWE-681:Incorrect Conversion between Numeric Types
與50位技術(shù)專家面對(duì)面20年技術(shù)見證,附贈(zèng)技術(shù)全景圖總結(jié)
以上是生活随笔為你收集整理的数字类型的不正确转换漏洞的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: AUTOSAR解决方案 — INTEWO
- 下一篇: SSL服务器配置评级指南