安全编程防止缓冲区溢出.docVIP

安全编程: 防止缓冲区溢出 防止如今最常见的程序缺陷 本文讨论 Linux/UNIX 系统中最常见的缺陷：缓冲区溢出。本文首先解释什么是缓冲区溢出，以及它们为何如此常见和如此危险。然后讨论广泛用于解决缓冲区溢出的新 Linux 和 UNIX 方法 ―― 以及为什么这些方法还不足够。随后将展示 C/C++ 程序中防止缓冲区溢出的各种方法，同时包括静态调整大小的方法（比如标准的 C 库和 OpenBSD/strlcpy 解决方案）和动态调整大小的解决方案，以及一些将为您提供帮助的工具。最后，本文以一些关于缓冲区溢出缺陷的未来发展形势的预测来结束全文的讨论。 标记本文！ 发布日期：?2004 年 3 月 01 日 级别：?初级 访问情况?3782 次浏览 建议：?0?(添加评论) 平均分 （共 4 个评分 ） 1988 年 11 月，许多组织不得不因为“Morris 蠕虫”而切断 Internet 连接，“Morris 蠕虫”是 23 岁的程序员 Robert Tappan Morris 编写的用于攻击 VAX 和 Sun 机器的程序。 据有关方面估计，这个程序大约使得整个 Internet 的 10% 崩溃。 2001 年 7 月，另一个名为“Code Red”的蠕虫病毒最终导致了全球运行微软的 IIS Web Server 的 300,000 多台计算机受到攻击。2003 年 1 月，“Slammer”（也称为“Sapphire”）蠕虫利用 Microsoft SQL Server 2000 中的一个缺陷，使得南韩和日本的部分 Internet 崩溃，中断了芬兰的电话服务，并且使得美国航空订票系统、信用卡网络和自动出纳机运行缓慢。所有这些攻击 ―― 以及其他许多攻击，都利用了一个称做为 缓冲区溢出 的程序缺陷。 1999 年 Bugtraq（一个讨论安全缺陷的邮件列表）进行的一次非正式调查发现，三分之二的参与者认为第一号的缺陷就是缓冲区溢出（要了解相关背景，请参阅本文后面 参考资料部分列出的“Buffer Overflows: Attacks and Defenses for the Vulnerability of the Decade”一文）。从 1997 年到 2002 年 3 月，CERT/CC 发出的半数安全警报都基于缓冲区缺陷。 如果希望自己的程序是安全的，您需要知道什么是缓冲区溢出，如何防止它们，可以采用哪些最新的自动化工具来防止它们（以及为什么这些工具还不足够），还有如何在您自己的程序中防止它们。 什么是缓冲区溢出？ 缓冲区以前可能被定义为“包含相同数据类型的实例的一个连续计算机内存块”。在 C 和 C++ 中，缓冲区通常是使用数组和诸如 malloc() 和 new 这样的内存分配例程来实现的。极其常见的缓冲区种类是简单的字符数组。 溢出 是指数据被添加到分配给该缓冲区的内存块之外。 如果攻击者能够导致缓冲区溢出，那么它就能控制程序中的其他值。虽然存在许多利用缓冲区溢出的方法，不过最常见的方法还是“stack-smashing”攻击。Elias Levy (又名为 Aleph One）的一篇经典文章“Smashing the Stack for Fun and Profit”解释了 stack-smashing 攻击，Elias Levy 是 Bugtraq 邮件列表（请参阅 参考资料 以获得相关链接）的前任主持人。 为了理解 stack-smashing 攻击（或其他任何缓冲区攻击）是如何进行的，您需要了解一些关于计算机在机器语言级实际如何工作的知识。在类 UNIX 系统上，每个进程都可以划分为三个主要区域：文本、数据和堆栈。 文本区域包括代码和只读数据，通常不能对它执行写入操作。 数据区域同时包括静态分配的内存（比如全局和静态数据）和动态分配的内存（通常称为 堆）。 堆栈区域用于允许函数/方法调用；它用于记录函数完成之后的返回位置，存储函数中使用的本地变量，向函数传递参数，以及从函数返回值。每当调用一个函数，就会使用一个新的 堆栈帧来支持该调用。了解这些之后，让我们来考察一个简单的程序。 清单 1. 一个简单的程序 void function1(int a, int b, int c) { char buffer1[5]; gets(buffer1); /* DONT DO THIS */ } void main() { function(1,2,3); } 假设使用 gcc 来编译清单 1 中的简单程序，在 X86 上的 Linux 中运行，并且紧跟在对 gets() 的调用之后中止。此时的内存内容看起来像什么样子呢？答案是它看起来类似图 1，其中展示了从左边的低