Strcpy函数中的缓冲区溢出问题和防范

C语言和C++语言风格轻松、灵活,语法限制宽松,因而受到各类程序员的欢迎,是目前比较通用的编程语言,同时也是各大院校计算机专业的基本语言课程。strcpy函数由于不对数组边界进行检查,而非常容易造成各种缓冲区溢出的漏洞。这些漏洞很容易被利用,而造成严重的系统问题。在使用strcpy函数时,要小心谨慎。该文就Strcpy函数中的缓冲区溢出问题和防范进行讨论。

Tenda AX12路由器0-Day栈溢出漏洞挖掘方法

随着5G技术对物联网发展的加速,预计到2025年将会有约250亿台物联网设备连接到人们的生活。其中承担物联网设备网络管理角色的路由器使用量非常大,但是路由器存在众多安全问题,通过路由器设备进行攻击,可以非法获取用户信息。为了维护网络安全,提前发现路由器的漏洞具有重要的研究意义。本文以Tenda AX12路由器为研究对象,从固件入手对其进行0-Day栈溢出漏洞挖掘研究,并提出了基于危险函数追踪的逆向分析漏洞挖掘方法。首先从危险函数中分析函数所在前端的对应位置,将前后端对应;然后对固件中的Web服务进行分析,对其中可能发生栈溢出的httpd二进制代码进行危险函数分析,该方法使用反汇编代码对危险函数的普通形式和展开形式进行定位,并对危险函数进行参数分析和动态检测;接着通过搭建仿真模拟机在模拟机上运行该服务的二进制文件,并在Web前端页面对潜在漏洞位置进行数据包捕捉;最后根据前期分析的危险函数参数情况对包进行改写并发送,以此来触发漏洞,验证漏洞的存在性,同时验证该危险函数是否发生栈溢出。为了更真实地确定漏洞存在,我们又在真实设备上验证漏洞的真实存在性和可利用性。实验结果表明了该漏洞的挖掘检测方法的有效性,我们分别在不同型号的路由器上挖掘到4个0-Day漏洞,并且经过与SaTC工具进行对比实验结果表明该检测方法能够更准确的定位到出现漏洞的函数位置。

基于Libsafe的缓冲区溢出防范技术的研究

缓冲区溢出漏洞问题是一种常见的程序漏洞，在所有的操作系统中平台上或多或少都存在着这样漏洞。文章首先介绍缓冲区漏洞的主要原因和常用的防范措施，然后深入讨论一种基于Libsafe的格式化串漏洞的防范和堆栈溢出防范技术的实现原理和方法。该方法容易实现，配置简单，只要配置LD_PRELOAD环境变量，操作系统就可以调用，不会给系统带来额外的负担，不需要重新编译已经存在的应用程序，可以防范很多未知的缓冲区溢出漏洞。

缓冲区溢出攻击的原理与防范

攻击代码漏洞的常用手段就是利用缓冲区溢出。strcpy的那个漏洞至今仍是许多黑客掌中利器，作者将介绍如何防止缓冲区的溢出。

C程序设计的优化法研究

研究探讨了一种通用程序算法，其特点是：应用实例解决Ｃ程序设计的优化设计问题．计算结果证明，这种方法是正确的，可靠而实用的．