关于缓冲区溢出漏洞的解决方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
sra0 s r t 、 g t( s a f 、 s c nO Baidu Nhomakorabeatc t 、 p i f n 0 e s) c n 0 s a f 、 、
根据有关资料显示 , 当今被广泛利用的薄弱环节 中 多达百分之五十都是缓> 区溢 出。而且 , 中 该分析指出这
一
fc n0、 vs a f 、 v p it v c n(、 s a f fc n ( s r f 0、 s a f ) n ) v s a f 、 sra d 、 src y 、 srrs 等。 sc n0 te d 0 te p 0 t n0 t 为什么缓 中区溢 出是安全性 问题呢?
关键词 : 安全 ;缓冲 区溢 出;编译 ;L )Y C E( A C
S l to o BUfe e fo Le k o u i nst f r 0v r w a l
DI o gS a g (u h uIs tt o d s i eh oo y S o h w U ies y S z o 1 1 4 C ia NG Y n —h n S z o tue f n ut a T c n lg , o c o nv ri , u h u2 5 0 , hn ) ni I rl t HEF — n( u h uIs tt o d s i1 eh oo y S z o 4 C ia uNa S z o tue f n ut a T c n lg , u h u2 1 , hn ) ni I r 1 50
K e wo ds a ey; u fro e fo ; o y r :s ft b fe v r w c mpi ; l l LEX ; e YACC
1 引论
随着 电子商务的普及 ,安全性不再是一件微不足
道 的事情 ,它已经开始成为一个重要 的问题 :不够安
全的软件将会导致大公司的衰落或者消亡 ,这只是时 间问题。其中缓 中区溢 出是最大的安全 问题之一 。
计 算 机 系 统 应 用
21 年 第 1 0 0 9卷 第 2 期
关于缓冲 区溢 出漏洞 的解决方法①
丁永 尚 1 何福男 2 1苏州大学 计算机科学 与技术学院 江苏 苏州 2 1 4 . 2 (。 1 ; 50 2 苏州工业职业技术学院 江 苏 苏州 2 1 4 . 1 ) 50
Absr c : To a o d t e o e l a t eal ft e ma a u i,t i a e u ls a c mpl ro b sn wo ta t v i h v ro d wi d tis o h nu la d t h s p p r b i o i fC y u ig t h d e i o t n o l mp ra t o sLEX n t a d YACC fUNI I d so r wnc d u p t h eai n o u ci ni v k do o X. t d u o o et o t u er lt ff n to n o e r a o t o iv k n ,wh l r c si g t el xc la ay i d s n a n l ss Fu t e mo e he r lt n tbe wi e n o ig i p o e sn e i a n l ssa y tx a ay i. rh r r ,t e ai a l l b e h n o l pu nt ed tb s O t a a else , u re n o n e oman ant es u c o e t h aa a eS h t t n b itd q ei da d c u td t i ti h o r ec d . i iC
比例正随着时间而不 断上升。 1 9 在 8年 Ln on实 9 ic l
验室用来评估入侵检测 的的 5种远程攻 击中,有 2种 是缓冲区溢 出。由于某些原 因, 开发人员尚未积极推动
我们可能会想 : 有什 么大不 了,一点点水的溢出 “ 根本 不会对任何人造成伤害。 那 么将我们的类推再 引 ” 深一点 ,试想水溢 出在有许多暴 露在外的 电线 的工作 台上。根 据水滴溅 的位置 ,火花会 四处 飞散。同样地 , 当缓 区溢 出时 ,额外的数据会摧残程序 将来可能要 中 访问的其它有用的数据。有时 ,这些其它数据 的更改
引起缓 冲 区溢 出问题 的根 本原 因是 C 与其后代 (
C+ 本质就是非安全 的。 +) 没有边界来检查数组和指针
的引 用, 也就是开发人员必须 检查边界( 而这一行为往 往会被忽视) ,否则会有遇到安全 问题 的风险。标准 C
库 中存在许多非安全字符 串操作 函数 , 包括 :tc y 、 srp 0
会导致安全性问题 。
消除缓冲区溢 出这一软件安全性的主要陷阱。
其实引起灾难 的方法总是惊 人地简单。一部分采
用错误的语 言设计( 常是 C 和 C+ ,再结合程序 通 +)
员拙 劣 的编 写手段 ,就会 发生 这种 大 问题。 尽 管象 Jv 这样 不具备某 些令人 难 以置信 的异 常编程方式 aa
摘 要 : 为 了免 去以往手 工检查源程 序缓 冲 区溢出漏洞的繁琐和 不全面性 , 利用 LN X下的两个重要软件 L X IU E
和YC A C,编 写 C语言的词法和语 法分析程序 ,并在其 中添加相 关语 句的语意动作 代码 ,以达到在对 C 源程序进行语 法分析 的同时,输 出里边的 函数 调用关 系的 目的。此外 ,所生成的函数 关系调用表将 被放到数据库里边 ,进行 列表 、查询和统计 ;以便进行程序 的维护 。
根据有关资料显示 , 当今被广泛利用的薄弱环节 中 多达百分之五十都是缓> 区溢 出。而且 , 中 该分析指出这
一
fc n0、 vs a f 、 v p it v c n(、 s a f fc n ( s r f 0、 s a f ) n ) v s a f 、 sra d 、 src y 、 srrs 等。 sc n0 te d 0 te p 0 t n0 t 为什么缓 中区溢 出是安全性 问题呢?
关键词 : 安全 ;缓冲 区溢 出;编译 ;L )Y C E( A C
S l to o BUfe e fo Le k o u i nst f r 0v r w a l
DI o gS a g (u h uIs tt o d s i eh oo y S o h w U ies y S z o 1 1 4 C ia NG Y n —h n S z o tue f n ut a T c n lg , o c o nv ri , u h u2 5 0 , hn ) ni I rl t HEF — n( u h uIs tt o d s i1 eh oo y S z o 4 C ia uNa S z o tue f n ut a T c n lg , u h u2 1 , hn ) ni I r 1 50
K e wo ds a ey; u fro e fo ; o y r :s ft b fe v r w c mpi ; l l LEX ; e YACC
1 引论
随着 电子商务的普及 ,安全性不再是一件微不足
道 的事情 ,它已经开始成为一个重要 的问题 :不够安
全的软件将会导致大公司的衰落或者消亡 ,这只是时 间问题。其中缓 中区溢 出是最大的安全 问题之一 。
计 算 机 系 统 应 用
21 年 第 1 0 0 9卷 第 2 期
关于缓冲 区溢 出漏洞 的解决方法①
丁永 尚 1 何福男 2 1苏州大学 计算机科学 与技术学院 江苏 苏州 2 1 4 . 2 (。 1 ; 50 2 苏州工业职业技术学院 江 苏 苏州 2 1 4 . 1 ) 50
Absr c : To a o d t e o e l a t eal ft e ma a u i,t i a e u ls a c mpl ro b sn wo ta t v i h v ro d wi d tis o h nu la d t h s p p r b i o i fC y u ig t h d e i o t n o l mp ra t o sLEX n t a d YACC fUNI I d so r wnc d u p t h eai n o u ci ni v k do o X. t d u o o et o t u er lt ff n to n o e r a o t o iv k n ,wh l r c si g t el xc la ay i d s n a n l ss Fu t e mo e he r lt n tbe wi e n o ig i p o e sn e i a n l ssa y tx a ay i. rh r r ,t e ai a l l b e h n o l pu nt ed tb s O t a a else , u re n o n e oman ant es u c o e t h aa a eS h t t n b itd q ei da d c u td t i ti h o r ec d . i iC
比例正随着时间而不 断上升。 1 9 在 8年 Ln on实 9 ic l
验室用来评估入侵检测 的的 5种远程攻 击中,有 2种 是缓冲区溢 出。由于某些原 因, 开发人员尚未积极推动
我们可能会想 : 有什 么大不 了,一点点水的溢出 “ 根本 不会对任何人造成伤害。 那 么将我们的类推再 引 ” 深一点 ,试想水溢 出在有许多暴 露在外的 电线 的工作 台上。根 据水滴溅 的位置 ,火花会 四处 飞散。同样地 , 当缓 区溢 出时 ,额外的数据会摧残程序 将来可能要 中 访问的其它有用的数据。有时 ,这些其它数据 的更改
引起缓 冲 区溢 出问题 的根 本原 因是 C 与其后代 (
C+ 本质就是非安全 的。 +) 没有边界来检查数组和指针
的引 用, 也就是开发人员必须 检查边界( 而这一行为往 往会被忽视) ,否则会有遇到安全 问题 的风险。标准 C
库 中存在许多非安全字符 串操作 函数 , 包括 :tc y 、 srp 0
会导致安全性问题 。
消除缓冲区溢 出这一软件安全性的主要陷阱。
其实引起灾难 的方法总是惊 人地简单。一部分采
用错误的语 言设计( 常是 C 和 C+ ,再结合程序 通 +)
员拙 劣 的编 写手段 ,就会 发生 这种 大 问题。 尽 管象 Jv 这样 不具备某 些令人 难 以置信 的异 常编程方式 aa
摘 要 : 为 了免 去以往手 工检查源程 序缓 冲 区溢出漏洞的繁琐和 不全面性 , 利用 LN X下的两个重要软件 L X IU E
和YC A C,编 写 C语言的词法和语 法分析程序 ,并在其 中添加相 关语 句的语意动作 代码 ,以达到在对 C 源程序进行语 法分析 的同时,输 出里边的 函数 调用关 系的 目的。此外 ,所生成的函数 关系调用表将 被放到数据库里边 ,进行 列表 、查询和统计 ;以便进行程序 的维护 。