一种被忽视的构造和整数溢出重现
Michael Howard
Secure Windows Initiative
摘要:Michael Howard 研究了一種常常被忽略的代碼構造,這種構造可能會導致嚴重的緩沖區溢出問題,然后介紹了一種在沒有溢出副作用的情況下執行算術運算的替代方法。
談談構造
很奇怪,有如此之多的安全指導文檔提示人們注意危險的函數。在 C 和 C++ 中,很少有危險的函數,不過,有一件事是肯定的,有許多危險的開發人員正在使用 C 和 C++。
因此,您可能會問,“Michael,您究竟要討論什么?”
我得承認,我聽膩了一些文檔說的所謂某些函數是危險的,您應該使用更安全的類型來代替它們。例如,“不要使用 strcpy,它是危險的。您應該改用 strncpy,因為它是安全的。”沒有什么比這更遠離實際情況的了。有可能使用 strcpy 的代碼是安全的,而調用 strncpy 的卻是不安全的代碼。
像 strcpy 這樣的函數是有潛在 危險的,因為源數據比目標緩沖區大,并且它來自不受信任的源。如果源數據來自一個受信任的源,并且在復制之前經過了有效性測試,則調用 strcpy 就是安全的:
void func(char *p) {const int MAX = 10;char buf[MAX + 1];memset(buf,0,sizeof(buf));if (p && strlen(p) <= MAX) strcpy(buf,p); }信不信由您,我正好要在某處用到這個例子。有一種常常被忽略的構造可能會導致緩沖區溢出,它不是函數調用。它是這樣的:
while () *d++ = *s++;此處沒有函數調用,這是 DCOM 中導致出現 Blaster worm 蠕蟲病毒的編碼構造。在 Buffer Overrun In RPC Interface Could Allow Code Execution 中,您可以讀到更多關于此病毒的修復程序的內容。
該代碼如下所示:
HRESULT GetMachineName(WCHAR *pwszPath) {WCHAR wszMachineName[N + 1]) LPWSTR pwszServerName = wszMachineName;while (*pwszPath != L'//' )*pwszServerName++ = *pwszPath++; ... }這里的問題在于,while 循環是以源字符串中的一些字符為界的。它沒有為目標緩沖區的大小所限制。換句話說,如果源數據不受信任,就會出現緩沖區溢出。
我編寫了一段簡單的 Perl 腳本來搜索 C 和 C++ 代碼中這些類型的構造。請注意,這段腳本標記的每個實例并不是一個缺陷,您需要確定是否源數據是受信任的。
use strict; use File::Find;my $RECURSE = 1;################################################### foreach(@ARGV) {next if /^-./;if ($RECURSE) {finddepth(/&processFile,Michael Howard
Secure Windows Initiative
摘要:Michael Howard 研究了一種常常被忽略的代碼構造,這種構造可能會導致嚴重的緩沖區溢出問題,然后介紹了一種在沒有溢出副作用的情況下執行算術運算的替代方法。
談談構造
很奇怪,有如此之多的安全指導文檔提示人們注意危險的函數。在 C 和 C++ 中,很少有危險的函數,不過,有一件事是肯定的,有許多危險的開發人員正在使用 C 和 C++。
因此,您可能會問,“Michael,您究竟要討論什么?”
我得承認,我聽膩了一些文檔說的所謂某些函數是危險的,您應該使用更安全的類型來代替它們。例如,“不要使用 strcpy,它是危險的。您應該改用 strncpy,因為它是安全的。”沒有什么比這更遠離實際情況的了。有可能使用 strcpy 的代碼是安全的,而調用 strncpy 的卻是不安全的代碼。
像 strcpy 這樣的函數是有潛在 危險的,因為源數據比目標緩沖區大,并且它來自不受信任的源。如果源數據來自一個受信任的源,并且在復制之前經過了有效性測試,則調用 strcpy 就是安全的:
void func(char *p) {const int MAX = 10;char buf[MAX + 1];memset(buf,0,sizeof(buf));if (p && strlen(p) <= MAX) strcpy(buf,p); }信不信由您,我正好要在某處用到這個例子。有一種常常被忽略的構造可能會導致緩沖區溢出,它不是函數調用。它是這樣的:
while () *d++ = *s++;此處沒有函數調用,這是 DCOM 中導致出現 Blaster worm 蠕蟲病毒的編碼構造。在 Buffer Overrun In RPC Interface Could Allow Code Execution 中,您可以讀到更多關于此病毒的修復程序的內容。
該代碼如下所示:
HRESULT GetMachineName(WCHAR *pwszPath) {WCHAR wszMachineName[N + 1]) LPWSTR pwszServerName = wszMachineName;while (*pwszPath != L'//' )*pwszServerName++ = *pwszPath++; ... }這里的問題在于,while 循環是以源字符串中的一些字符為界的。它沒有為目標緩沖區的大小所限制。換句話說,如果源數據不受信任,就會出現緩沖區溢出。
我編寫了一段簡單的 Perl 腳本來搜索 C 和 C++ 代碼中這些類型的構造。請注意,這段腳本標記的每個實例并不是一個缺陷,您需要確定是否源數據是受信任的。
___FCKpd___3注這段腳本只查找 *p++ 構造,而不查找 *++p 構造。
假定您發現了一個缺陷,使代碼更安全的一種方法是限制被復制的數據不大于目標緩沖區:
HRESULT GetMachineName(WCHAR *pwszPath) {WCHAR wszMachineName[N + 1]) LPWSTR pwszServerName = wszMachineName;size_t cbMachineName = N;while (*pwszPath != L'//' && --cbMachineName)*pwszServerName++ = *pwszPath++; ... }最后,對不為目標緩沖區的大小所限制的任何內存復制函數或構造都應該進行嚴格檢查。
返回頁首關于整數溢出的更多介紹
在前面的文章 Reviewing Code for Integer Manipulation Vulnerabilities 中,我討論了與所謂整數溢出 的簡單數學運算相關的安全性缺陷。
最近,作為正在進行的可信賴計算工程系列 (Trustworthy Computing Engineering Series) 的一部分,我給 Microsoft 的工程師做了一次關于整數溢出的講座。在講座中,我概述了如何發現整數溢出以及如何修復整數溢出。讓我感到吃驚的是,我接收到的許多電子郵件都說我的補救方法很好,但是充滿危險。請允許我做一些解釋。
在該專欄中,我提到過的代碼如下所示:
if (A + B > MAX) return -1;應該改成這樣:
if (A + B >= A && A + B < MAX) {// cool! }三年前就有人指出,一些人會看到這段代碼,但是不知道它有什么用,從而可能刪除 A+B >= A 部分,因為它看起來純屬多余,而現在,整數溢出又重新出現在您面前。不會吧!
作為回應,我寫了下面的頭文件,它的意圖再明白不過了。是的,它看起來像亂碼,但這段亂碼卻是 x86 匯編語言。我之所以使用匯編語言,是因為它可以使我直接訪問 jc 操作數,即按進位轉移 (jump-on-carry)。換句話說,它檢測數學運算是否會導致溢出。
#ifndef _INC_INTOVERFLOW_ #define _INC_INTOVERFLOW_#ifdef _X86_inline bool UAdd(size_t a, size_t b, size_t *r) {__asm {mov eax,dword ptr [a] add eax,dword ptr [b] mov ecx,dword ptr [r] mov dword ptr [ecx],eax jc short j1mov al,1 jmp short j2 j1:#ifdef _DEBUGint 3 #endifxor al,al j2:}; }inline bool UMul(size_t a, size_t b, size_t *r) {__asm {mov eax,dword ptr [a] mul dword ptr [b] mov ecx,dword ptr [r] mov dword ptr [ecx],eax jc short j1mov al,1 jmp short j2 j1:#ifdef _DEBUGint 3 #endifxor al,al j2:}; }inline bool UMulAdd(size_t mul1, size_t mul2, size_t add, size_t *r) {size_t t = 0;if (UMul(mul1,mul2,&t))return UAdd(t,add,r);return false; }#else # error "This code compiles only on 32-bit x86 #endif // _X86_#endif // _INC_INTOVERFLOW_請查看這個文件,它包括解釋這些函數的簡單文檔。
返回頁首發現安全漏洞
雖然花了一點時間,但是許多人都找到了漏洞。當通過比較字符串來做出安全決策時,這種比較就應該是區域性不變的比較或字節方式的比較。在這個例子中,我編寫的代碼可能允許訪問土耳其語的敏感數據,因為在土耳其語中,字母“I”有四個實例,兩個小寫字母,兩個大寫字母。您可以在 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemstringclasscomparetopic5.asp 上閱讀這方面的內容。
現在,讓我們轉到本月的錯誤。這段代碼有什么問題?
void func(char *p) {char buf[10+1];memset(buf,0,sizeof(buf));// limit string to 10 charssprintf(buf,"%10s",p);printf("Hello, %s/n",buf); } 返回頁首一個小智力游戲
這個智力游戲實際上與安全性毫無關系,但是當我想到人們為整數溢出檢測代碼所困擾時,我就把它從我記憶的深處拉了出來。這段代碼有什么用呢?
int a = 0x42; int b = 0x69; a ^= b; b ^= a; a ^= b;這個游戲的規則非常簡單,您無法編譯或解釋這段代碼。試著僅僅通過觀察來確定它有什么用。
Michael Howard 是 Microsoft Secure Windows Initiative 組的高級安全程序經理,是 Writing Secure Code 的合著者之一,該書的第二版現已發行。他還是 Designing Secure Web-based Applications for Windows 2000 的主要作者。他致力于確保人們所設計、構建、測試和記錄的系統符合安全要求。他最喜歡的一句話是“一人之工具,他人之兇器。”
轉到原英文頁面
);} else {find(/&processFile,Michael Howard
Secure Windows Initiative
摘要:Michael Howard 研究了一種常常被忽略的代碼構造,這種構造可能會導致嚴重的緩沖區溢出問題,然后介紹了一種在沒有溢出副作用的情況下執行算術運算的替代方法。
談談構造
很奇怪,有如此之多的安全指導文檔提示人們注意危險的函數。在 C 和 C++ 中,很少有危險的函數,不過,有一件事是肯定的,有許多危險的開發人員正在使用 C 和 C++。
因此,您可能會問,“Michael,您究竟要討論什么?”
我得承認,我聽膩了一些文檔說的所謂某些函數是危險的,您應該使用更安全的類型來代替它們。例如,“不要使用 strcpy,它是危險的。您應該改用 strncpy,因為它是安全的。”沒有什么比這更遠離實際情況的了。有可能使用 strcpy 的代碼是安全的,而調用 strncpy 的卻是不安全的代碼。
像 strcpy 這樣的函數是有潛在 危險的,因為源數據比目標緩沖區大,并且它來自不受信任的源。如果源數據來自一個受信任的源,并且在復制之前經過了有效性測試,則調用 strcpy 就是安全的:
void func(char *p) {const int MAX = 10;char buf[MAX + 1];memset(buf,0,sizeof(buf));if (p && strlen(p) <= MAX) strcpy(buf,p); }信不信由您,我正好要在某處用到這個例子。有一種常常被忽略的構造可能會導致緩沖區溢出,它不是函數調用。它是這樣的:
while () *d++ = *s++;此處沒有函數調用,這是 DCOM 中導致出現 Blaster worm 蠕蟲病毒的編碼構造。在 Buffer Overrun In RPC Interface Could Allow Code Execution 中,您可以讀到更多關于此病毒的修復程序的內容。
該代碼如下所示:
HRESULT GetMachineName(WCHAR *pwszPath) {WCHAR wszMachineName[N + 1]) LPWSTR pwszServerName = wszMachineName;while (*pwszPath != L'//' )*pwszServerName++ = *pwszPath++; ... }這里的問題在于,while 循環是以源字符串中的一些字符為界的。它沒有為目標緩沖區的大小所限制。換句話說,如果源數據不受信任,就會出現緩沖區溢出。
我編寫了一段簡單的 Perl 腳本來搜索 C 和 C++ 代碼中這些類型的構造。請注意,這段腳本標記的每個實例并不是一個缺陷,您需要確定是否源數據是受信任的。
___FCKpd___3注這段腳本只查找 *p++ 構造,而不查找 *++p 構造。
假定您發現了一個缺陷,使代碼更安全的一種方法是限制被復制的數據不大于目標緩沖區:
___FCKpd___4最后,對不為目標緩沖區的大小所限制的任何內存復制函數或構造都應該進行嚴格檢查。
返回頁首關于整數溢出的更多介紹
在前面的文章 Reviewing Code for Integer Manipulation Vulnerabilities 中,我討論了與所謂整數溢出 的簡單數學運算相關的安全性缺陷。
最近,作為正在進行的可信賴計算工程系列 (Trustworthy Computing Engineering Series) 的一部分,我給 Microsoft 的工程師做了一次關于整數溢出的講座。在講座中,我概述了如何發現整數溢出以及如何修復整數溢出。讓我感到吃驚的是,我接收到的許多電子郵件都說我的補救方法很好,但是充滿危險。請允許我做一些解釋。
在該專欄中,我提到過的代碼如下所示:
___FCKpd___5應該改成這樣:
___FCKpd___6三年前就有人指出,一些人會看到這段代碼,但是不知道它有什么用,從而可能刪除 A+B >= A 部分,因為它看起來純屬多余,而現在,整數溢出又重新出現在您面前。不會吧!
作為回應,我寫了下面的頭文件,它的意圖再明白不過了。是的,它看起來像亂碼,但這段亂碼卻是 x86 匯編語言。我之所以使用匯編語言,是因為它可以使我直接訪問 jc 操作數,即按進位轉移 (jump-on-carry)。換句話說,它檢測數學運算是否會導致溢出。
___FCKpd___7請查看這個文件,它包括解釋這些函數的簡單文檔。
返回頁首發現安全漏洞
雖然花了一點時間,但是許多人都找到了漏洞。當通過比較字符串來做出安全決策時,這種比較就應該是區域性不變的比較或字節方式的比較。在這個例子中,我編寫的代碼可能允許訪問土耳其語的敏感數據,因為在土耳其語中,字母“I”有四個實例,兩個小寫字母,兩個大寫字母。您可以在 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemstringclasscomparetopic5.asp 上閱讀這方面的內容。
現在,讓我們轉到本月的錯誤。這段代碼有什么問題?
___FCKpd___8返回頁首一個小智力游戲
這個智力游戲實際上與安全性毫無關系,但是當我想到人們為整數溢出檢測代碼所困擾時,我就把它從我記憶的深處拉了出來。這段代碼有什么用呢?
___FCKpd___9 ___FCKpd___10這個游戲的規則非常簡單,您無法編譯或解釋這段代碼。試著僅僅通過觀察來確定它有什么用。
Michael Howard 是 Microsoft Secure Windows Initiative 組的高級安全程序經理,是 Writing Secure Code 的合著者之一,該書的第二版現已發行。他還是 Designing Secure Web-based Applications for Windows 2000 的主要作者。他致力于確保人們所設計、構建、測試和記錄的系統符合安全要求。他最喜歡的一句話是“一人之工具,他人之兇器。”
轉到原英文頁面
);} } ################################################### sub processFile {my $FILE;my $filename =Michael Howard
Secure Windows Initiative
摘要:Michael Howard 研究了一種常常被忽略的代碼構造,這種構造可能會導致嚴重的緩沖區溢出問題,然后介紹了一種在沒有溢出副作用的情況下執行算術運算的替代方法。
談談構造
很奇怪,有如此之多的安全指導文檔提示人們注意危險的函數。在 C 和 C++ 中,很少有危險的函數,不過,有一件事是肯定的,有許多危險的開發人員正在使用 C 和 C++。
因此,您可能會問,“Michael,您究竟要討論什么?”
我得承認,我聽膩了一些文檔說的所謂某些函數是危險的,您應該使用更安全的類型來代替它們。例如,“不要使用 strcpy,它是危險的。您應該改用 strncpy,因為它是安全的。”沒有什么比這更遠離實際情況的了。有可能使用 strcpy 的代碼是安全的,而調用 strncpy 的卻是不安全的代碼。
像 strcpy 這樣的函數是有潛在 危險的,因為源數據比目標緩沖區大,并且它來自不受信任的源。如果源數據來自一個受信任的源,并且在復制之前經過了有效性測試,則調用 strcpy 就是安全的:
void func(char *p) {const int MAX = 10;char buf[MAX + 1];memset(buf,0,sizeof(buf));if (p && strlen(p) <= MAX) strcpy(buf,p); }信不信由您,我正好要在某處用到這個例子。有一種常常被忽略的構造可能會導致緩沖區溢出,它不是函數調用。它是這樣的:
while () *d++ = *s++;此處沒有函數調用,這是 DCOM 中導致出現 Blaster worm 蠕蟲病毒的編碼構造。在 Buffer Overrun In RPC Interface Could Allow Code Execution 中,您可以讀到更多關于此病毒的修復程序的內容。
該代碼如下所示:
HRESULT GetMachineName(WCHAR *pwszPath) {WCHAR wszMachineName[N + 1]) LPWSTR pwszServerName = wszMachineName;while (*pwszPath != L'//' )*pwszServerName++ = *pwszPath++; ... }這里的問題在于,while 循環是以源字符串中的一些字符為界的。它沒有為目標緩沖區的大小所限制。換句話說,如果源數據不受信任,就會出現緩沖區溢出。
我編寫了一段簡單的 Perl 腳本來搜索 C 和 C++ 代碼中這些類型的構造。請注意,這段腳本標記的每個實例并不是一個缺陷,您需要確定是否源數據是受信任的。
___FCKpd___3注這段腳本只查找 *p++ 構造,而不查找 *++p 構造。
假定您發現了一個缺陷,使代碼更安全的一種方法是限制被復制的數據不大于目標緩沖區:
___FCKpd___4最后,對不為目標緩沖區的大小所限制的任何內存復制函數或構造都應該進行嚴格檢查。
返回頁首關于整數溢出的更多介紹
在前面的文章 Reviewing Code for Integer Manipulation Vulnerabilities 中,我討論了與所謂整數溢出 的簡單數學運算相關的安全性缺陷。
最近,作為正在進行的可信賴計算工程系列 (Trustworthy Computing Engineering Series) 的一部分,我給 Microsoft 的工程師做了一次關于整數溢出的講座。在講座中,我概述了如何發現整數溢出以及如何修復整數溢出。讓我感到吃驚的是,我接收到的許多電子郵件都說我的補救方法很好,但是充滿危險。請允許我做一些解釋。
在該專欄中,我提到過的代碼如下所示:
___FCKpd___5應該改成這樣:
___FCKpd___6三年前就有人指出,一些人會看到這段代碼,但是不知道它有什么用,從而可能刪除 A+B >= A 部分,因為它看起來純屬多余,而現在,整數溢出又重新出現在您面前。不會吧!
作為回應,我寫了下面的頭文件,它的意圖再明白不過了。是的,它看起來像亂碼,但這段亂碼卻是 x86 匯編語言。我之所以使用匯編語言,是因為它可以使我直接訪問 jc 操作數,即按進位轉移 (jump-on-carry)。換句話說,它檢測數學運算是否會導致溢出。
___FCKpd___7請查看這個文件,它包括解釋這些函數的簡單文檔。
返回頁首發現安全漏洞
雖然花了一點時間,但是許多人都找到了漏洞。當通過比較字符串來做出安全決策時,這種比較就應該是區域性不變的比較或字節方式的比較。在這個例子中,我編寫的代碼可能允許訪問土耳其語的敏感數據,因為在土耳其語中,字母“I”有四個實例,兩個小寫字母,兩個大寫字母。您可以在 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemstringclasscomparetopic5.asp 上閱讀這方面的內容。
現在,讓我們轉到本月的錯誤。這段代碼有什么問題?
___FCKpd___8返回頁首一個小智力游戲
這個智力游戲實際上與安全性毫無關系,但是當我想到人們為整數溢出檢測代碼所困擾時,我就把它從我記憶的深處拉了出來。這段代碼有什么用呢?
___FCKpd___9 ___FCKpd___10這個游戲的規則非常簡單,您無法編譯或解釋這段代碼。試著僅僅通過觀察來確定它有什么用。
Michael Howard 是 Microsoft Secure Windows Initiative 組的高級安全程序經理,是 Writing Secure Code 的合著者之一,該書的第二版現已發行。他還是 Designing Secure Web-based Applications for Windows 2000 的主要作者。他致力于確保人們所設計、構建、測試和記錄的系統符合安全要求。他最喜歡的一句話是“一人之工具,他人之兇器。”
轉到原英文頁面
;if (!$RECURSE && ($File::Find::topdir ne $File::Find::dir)) {$File::Find::prune = 1;return;} # Only accept C/C++ and header extensionsreturn if (!(//.[ch](?:pp|xx)?$/i));warn "$!/n" unless open FILE, "<" . $filename;# reset line number$. = 0;while () {chomp;s/^/s+//;s//s+$//;if (//*/w+/+/+/s{0,}=/s{0,}/*/w+/+/+) {print $filename . " " .Michael Howard
Secure Windows Initiative
摘要:Michael Howard 研究了一種常常被忽略的代碼構造,這種構造可能會導致嚴重的緩沖區溢出問題,然后介紹了一種在沒有溢出副作用的情況下執行算術運算的替代方法。
談談構造
很奇怪,有如此之多的安全指導文檔提示人們注意危險的函數。在 C 和 C++ 中,很少有危險的函數,不過,有一件事是肯定的,有許多危險的開發人員正在使用 C 和 C++。
因此,您可能會問,“Michael,您究竟要討論什么?”
我得承認,我聽膩了一些文檔說的所謂某些函數是危險的,您應該使用更安全的類型來代替它們。例如,“不要使用 strcpy,它是危險的。您應該改用 strncpy,因為它是安全的。”沒有什么比這更遠離實際情況的了。有可能使用 strcpy 的代碼是安全的,而調用 strncpy 的卻是不安全的代碼。
像 strcpy 這樣的函數是有潛在 危險的,因為源數據比目標緩沖區大,并且它來自不受信任的源。如果源數據來自一個受信任的源,并且在復制之前經過了有效性測試,則調用 strcpy 就是安全的:
void func(char *p) {const int MAX = 10;char buf[MAX + 1];memset(buf,0,sizeof(buf));if (p && strlen(p) <= MAX) strcpy(buf,p); }信不信由您,我正好要在某處用到這個例子。有一種常常被忽略的構造可能會導致緩沖區溢出,它不是函數調用。它是這樣的:
while () *d++ = *s++;此處沒有函數調用,這是 DCOM 中導致出現 Blaster worm 蠕蟲病毒的編碼構造。在 Buffer Overrun In RPC Interface Could Allow Code Execution 中,您可以讀到更多關于此病毒的修復程序的內容。
該代碼如下所示:
HRESULT GetMachineName(WCHAR *pwszPath) {WCHAR wszMachineName[N + 1]) LPWSTR pwszServerName = wszMachineName;while (*pwszPath != L'//' )*pwszServerName++ = *pwszPath++; ... }這里的問題在于,while 循環是以源字符串中的一些字符為界的。它沒有為目標緩沖區的大小所限制。換句話說,如果源數據不受信任,就會出現緩沖區溢出。
我編寫了一段簡單的 Perl 腳本來搜索 C 和 C++ 代碼中這些類型的構造。請注意,這段腳本標記的每個實例并不是一個缺陷,您需要確定是否源數據是受信任的。
___FCKpd___3注這段腳本只查找 *p++ 構造,而不查找 *++p 構造。
假定您發現了一個缺陷,使代碼更安全的一種方法是限制被復制的數據不大于目標緩沖區:
___FCKpd___4最后,對不為目標緩沖區的大小所限制的任何內存復制函數或構造都應該進行嚴格檢查。
返回頁首關于整數溢出的更多介紹
在前面的文章 Reviewing Code for Integer Manipulation Vulnerabilities 中,我討論了與所謂整數溢出 的簡單數學運算相關的安全性缺陷。
最近,作為正在進行的可信賴計算工程系列 (Trustworthy Computing Engineering Series) 的一部分,我給 Microsoft 的工程師做了一次關于整數溢出的講座。在講座中,我概述了如何發現整數溢出以及如何修復整數溢出。讓我感到吃驚的是,我接收到的許多電子郵件都說我的補救方法很好,但是充滿危險。請允許我做一些解釋。
在該專欄中,我提到過的代碼如下所示:
___FCKpd___5應該改成這樣:
___FCKpd___6三年前就有人指出,一些人會看到這段代碼,但是不知道它有什么用,從而可能刪除 A+B >= A 部分,因為它看起來純屬多余,而現在,整數溢出又重新出現在您面前。不會吧!
作為回應,我寫了下面的頭文件,它的意圖再明白不過了。是的,它看起來像亂碼,但這段亂碼卻是 x86 匯編語言。我之所以使用匯編語言,是因為它可以使我直接訪問 jc 操作數,即按進位轉移 (jump-on-carry)。換句話說,它檢測數學運算是否會導致溢出。
___FCKpd___7請查看這個文件,它包括解釋這些函數的簡單文檔。
返回頁首發現安全漏洞
雖然花了一點時間,但是許多人都找到了漏洞。當通過比較字符串來做出安全決策時,這種比較就應該是區域性不變的比較或字節方式的比較。在這個例子中,我編寫的代碼可能允許訪問土耳其語的敏感數據,因為在土耳其語中,字母“I”有四個實例,兩個小寫字母,兩個大寫字母。您可以在 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemstringclasscomparetopic5.asp 上閱讀這方面的內容。
現在,讓我們轉到本月的錯誤。這段代碼有什么問題?
___FCKpd___8返回頁首一個小智力游戲
這個智力游戲實際上與安全性毫無關系,但是當我想到人們為整數溢出檢測代碼所困擾時,我就把它從我記憶的深處拉了出來。這段代碼有什么用呢?
___FCKpd___9 ___FCKpd___10這個游戲的規則非常簡單,您無法編譯或解釋這段代碼。試著僅僅通過觀察來確定它有什么用。
Michael Howard 是 Microsoft Secure Windows Initiative 組的高級安全程序經理,是 Writing Secure Code 的合著者之一,該書的第二版現已發行。他還是 Designing Secure Web-based Applications for Windows 2000 的主要作者。他致力于確保人們所設計、構建、測試和記錄的系統符合安全要求。他最喜歡的一句話是“一人之工具,他人之兇器。”
轉到原英文頁面
. "/n";} }注這段腳本只查找 *p++ 構造,而不查找 *++p 構造。
假定您發現了一個缺陷,使代碼更安全的一種方法是限制被復制的數據不大于目標緩沖區:
___FCKpd___4最后,對不為目標緩沖區的大小所限制的任何內存復制函數或構造都應該進行嚴格檢查。
返回頁首關于整數溢出的更多介紹
在前面的文章 Reviewing Code for Integer Manipulation Vulnerabilities 中,我討論了與所謂整數溢出 的簡單數學運算相關的安全性缺陷。
最近,作為正在進行的可信賴計算工程系列 (Trustworthy Computing Engineering Series) 的一部分,我給 Microsoft 的工程師做了一次關于整數溢出的講座。在講座中,我概述了如何發現整數溢出以及如何修復整數溢出。讓我感到吃驚的是,我接收到的許多電子郵件都說我的補救方法很好,但是充滿危險。請允許我做一些解釋。
在該專欄中,我提到過的代碼如下所示:
___FCKpd___5應該改成這樣:
___FCKpd___6三年前就有人指出,一些人會看到這段代碼,但是不知道它有什么用,從而可能刪除 A+B >= A 部分,因為它看起來純屬多余,而現在,整數溢出又重新出現在您面前。不會吧!
作為回應,我寫了下面的頭文件,它的意圖再明白不過了。是的,它看起來像亂碼,但這段亂碼卻是 x86 匯編語言。我之所以使用匯編語言,是因為它可以使我直接訪問 jc 操作數,即按進位轉移 (jump-on-carry)。換句話說,它檢測數學運算是否會導致溢出。
___FCKpd___7請查看這個文件,它包括解釋這些函數的簡單文檔。
返回頁首發現安全漏洞
雖然花了一點時間,但是許多人都找到了漏洞。當通過比較字符串來做出安全決策時,這種比較就應該是區域性不變的比較或字節方式的比較。在這個例子中,我編寫的代碼可能允許訪問土耳其語的敏感數據,因為在土耳其語中,字母“I”有四個實例,兩個小寫字母,兩個大寫字母。您可以在 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpref/html/frlrfsystemstringclasscomparetopic5.asp 上閱讀這方面的內容。
現在,讓我們轉到本月的錯誤。這段代碼有什么問題?
___FCKpd___8 返回頁首一個小智力游戲
這個智力游戲實際上與安全性毫無關系,但是當我想到人們為整數溢出檢測代碼所困擾時,我就把它從我記憶的深處拉了出來。這段代碼有什么用呢?
___FCKpd___9 ___FCKpd___10這個游戲的規則非常簡單,您無法編譯或解釋這段代碼。試著僅僅通過觀察來確定它有什么用。
Michael Howard 是 Microsoft Secure Windows Initiative 組的高級安全程序經理,是 Writing Secure Code 的合著者之一,該書的第二版現已發行。他還是 Designing Secure Web-based Applications for Windows 2000 的主要作者。他致力于確保人們所設計、構建、測試和記錄的系統符合安全要求。他最喜歡的一句話是“一人之工具,他人之兇器。”
轉到原英文頁面
總結
以上是生活随笔為你收集整理的一种被忽视的构造和整数溢出重现的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 利用MatConvNet进行孪生多分支网
- 下一篇: 深度网络模型裁剪和发布正规化