第3讲 字符串安全(二)(2014年3月5日).pdfVIP

第3讲字符串安全（二） 栈粉碎、代码注入和弧注入 缓冲区溢出缓解策略探讨 计算机学院 徐国爱 xga@ 本讲内容安排 1 栈粉碎 2 代码注入 3 弧注入 4 缓解策略 5 著名的漏洞 1.1 栈粉碎及其危害  当缓冲区溢出覆写分配给执行栈内存中的数据 时，就会导致栈粉碎(stack smashing)  这种情况会对程序的可靠性和安全性造成严重 的后果  覆写自动变量会破坏数据的完整性，在某些情况下 也可能会引发安全漏洞（例如，在一个包含UID的 变量被覆写的情况下）  覆写控制转移的指针地址可执行任意代码，一个常 见的例子是覆写返回地址（该地址也位于栈中）  覆写帧或基于栈的异常处理指针、函数指针或其他 控制将导致控制转移 1.2 示例程序的程序栈  图2-9所示的密码程序示例在Windows XP环境 下用Visual C++ 2003编译，就容易遭受栈粉碎 攻击  程序在调用IsPasswordOkay()之前，栈中包含 的信息如图2-16所示，其中含有保存 IsPasswordOkay()函数返回状态的局部变量的 内存，以及调用者的帧指针和返回地址  当程序执行IsPasswordOkay()函数时，栈中包 含的信息如图2-17所示。请注意，Password 数组和main()函数的返回地址都位于栈中，并 且main()函数的返回地址的位置位于Password 数组之后  当程序从IsPasswordOkay()返回时（如图2-18 所示），栈恢复到原来的状态，程序根据从 IsPasswordOkay()函数返回的值继续执行 1.3 简单的栈粉碎  由于Password数组只能包含最多11个字符加上 结尾的空字符，因此该程序存在一个安全缺陷。 如图2-19所示，可以通过输入 “ 12345678901234567890”这样的有着20个字 符的密码造成程序崩溃，从而很容易地暴露这 个缺陷。  由于20个字节是用户输入的，加上用作结尾的 空字符，因此实际上存储该字符串所需要的内 存是21个字节。但是，由于可用于存储密码的 空间仅为12字节，按中用来存储其他信息的9 个字节（21-12=9 ）就被密码数据覆写了。  图2-20展示了被20个字节的密码搅乱后的程序 栈。请注意，调用者的帧指针、返回地址以及 PwStatus变量的一部分存储空间都已经被搅乱 了。 图2-20 由20个字节的密码所导致的栈破坏