程序依賴于適當的字符串終止,但中間函數可能導致源緩沖區變為不會終止。這可能導致緩沖區溢出。
在以下情況下發生的截斷可能導致字符串終止錯誤:
1. 數據進入程序。
2. 數據通過了截斷它的函數,從而刪除了“\0”終止符。
3. 數據被傳遞到需要其輸入以“\0”結尾的函數。
例 1:以下代碼檢索“\0”結尾的環境變量的值,并使用 strncpy() 將數據復制到 new。然后,在將 new 傳遞到 setenv() 時,程序錯誤地認為它應當以“\0”結尾。
...
char *value = getenv("PWD");
...
char *new_value = strncpy(new, value, strlen(value));
setenv("PATH", new, 1);
...
strncpy() 的調用受字符串長度的約束,如 strlen() 計算的那樣,它沒有對“\0”終止符進行說明,所以 new 將不會終止,并導致 setenv() 調用行為發生錯誤。函數 setenv() 將繼續從 new 之后的內存進行復制,直到它遇到任意“\0”終止符為止。如果該函數在達到程序環境的最大大小之前沒有找到“\0”終止符,就無法定義該函數和其他環境函數的行為。即使找到了任意一個以“\0”結尾的字符,PATH 環境變量也可能會指向無效目錄。更嚴重的情況是,如果攻擊者控制了 new 之后的內存中的值,那么他們可能將惡意條目引入 PATH,這樣就改變了后續執行的命令的含義。 fgets() 從流檢索數據,并將這些數據存儲在 buf 中。該函數確保數據不會超過緩沖區大小,并且結果以“\0”結尾。然后,使用 strncpy() 將數據的子集復制到新緩沖區 data。而最終的 buf 長度值將通過 strlen() 來計算。...
char buf[MAXLEN];
fgets(buf, MAXLEN, stream);
...
strncpy(data, buf, data_size);
...
int length = strlen(data);
...
data_size 小于或等于從流讀取的數據的長度,那么例 2 中的代碼行為將發生錯誤,因為不會將“\0”終止符復制到 data。在測試過程中,類似于這樣的漏洞可能不會被捕捉到,因為對 data 進行即時跟蹤的內存通常是空的,這就使得 strlen() 意外產生正確的結果。然而實際上,strlen() 將持續遍歷內存,直到其在棧中遇到任意一個以“\0”結尾的字符,這就會導致 length 的值遠遠大于 buf 的大小。隨后在 data 上進行的依賴于 length 的操作可能導致緩沖區溢出。[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A5 Buffer Overflow
[2] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3590.1 CAT I
[3] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3590.1 CAT I
[4] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Buffer Overflow
[5] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 170
[6] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1
[7] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.2
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.5
[9] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 665
[10] Standards Mapping - SANS Top 25 2010 - (SANS 2010) Risky Resource Management - CWE ID 665
[11] M. Howard, D. LeBlanc Writing Secure Code, Second Edition Microsoft Press