什么是缓冲区溢出
缓冲区溢出证明了一个观点:除非你看着用户与你的应用程序交互操作,否则你根本就不知道用户会向应用程序输入什么样的数据。这些攻击依赖于一些奇怪的想法:黑客给应用程序提供的输入信息可能超过了缓冲区的长度,结果这些额外的(超出缓冲区长度的)信息覆盖了缓冲区控制之外的内存。在某些情况下,这些内存实际上保存着可执行信息(heap memory overrun,堆存储泛滥),从而使应用程序不运行原始的可执行代码,而是运行黑客的代码;在另外一些情形中,黑客则覆盖了应用程序的栈页面(stack memory overrun,栈存储泛滥)。
有些黑客甚至于分析你的代码,查找位置以供堆或栈存储泛滥利用。但是在有些情况下,当黑客试图向某个字段输入一些信息,查看发生什么情况的时候,这种利用可能被发现。例如,黑客可能试图输入一段简单的代码,看你的应用程序是否会执行它。不管该黑客是如何发现漏洞的,其结果都是相同的:你的应用程序失去了对黑客代码的控制权--黑客现在可以享受那些曾经是你的应用程序才能享受的权力了。
很多开发者认为黑客会通过某些秘密的通道来利用他们所建立的程序,但是很多利用方法是非常简单的--让操作系统显示命令提示符这样的行为在某些情况下就足以获取控制权了。如果系统的安全性稍微有一点松懈,黑客就可以获取服务器的控制权。至少,命令提示符允许黑客探测系统的状况,采用其它的某种方式来获取更多的访问权。黑客不需要在第一次尝试的时候就获得系统的控制权。他们所需要的是获取累积起来的点点滴滴的控制权。
很明显,如果要保证应用程序免受缓冲区泛滥的伤害,你就必须为应用程序提供某种保护措施。控制缓冲区泛滥的最好的方法是检查程序收到的所有输入信息,即使这些信息来自受信任的来源。本文考虑了每个程序应该执行的四个基本的检查:检查数据范围、验证数据长度、排除非法字符、为用户提供足够的帮助以确保良好的输入。
验证数据的范围
编程(www.cppentry.com)语言提供的大多数数据范围反映的都是下层硬件的实际情况,而不是现实世界的需要。例如,当你在代码中把某个值定义为Int32的时候,就意味着用户输入的值应该在-2,147,483,648到2,147,483,647之间。这个数字是依赖于硬件条件的,计算机使用31位存储数据,1位存储符号(2^31 = 2,147,483,648)。但是,你的应用程序可能没有查明可接受的范围。
当硬件需求与应用程序的现实需求不一致的时候,你就必须在应用程序中包含特定的代码来检查潜在的错误条件。你在代码中可能希望接受1到40,000的数字,它超出了Int16的值范围,但是在Int32的值范围中。列表1显示了这类检查的例子。
列表1.检查数据范围错误
System::Void btnDataRange_Click(System::Object * sender, System::EventArgs * e)
{
Int32 TestData; // 保持输入的值
try
{
// 永远需要首先尝试分析数据
TestData = Int32::Parse(txtInput1->Text);
}
catch (System::OverflowException *OE)
{
// 溢出错误处理
MessageBox::Show(S"Type a value between 1 and 40,000.", S"Input Error",
MessageBoxButtons::OK, MessageBoxIcon::Error);
return;
}
catch (System::FormatException *FE)
{
//溢出错误处理
MessageBox::Show(S"Type the number without extra charaters.", S"Input Error",
MessageBoxButtons::OK, MessageBoxIcon::Error);
return;
}
// 测试特定的数据范围
if (TestData < 1 || TestData > 40000)
//溢出错误处理
MessageBox::Show(S"Type a value between 1 and 40,000.", S"Input Error",
MessageBoxButtons::OK, MessageBoxIcon::Error);
} |
请注意,这段代码首先使用Parse()方法把输入信息转换成Int32类型。这种简单的转换可以为很多输入方面的问题进行定位。在这个例子中,代码使用System::OverflowException异常检查值是否太大或太小,使用System::FormatException异常检查值的格式是否正确。在代码确保输入信息是一个合理的Int32值之后,接着检查实际的输入范围。
值的数据类型是最容易检查的,因为它们都有特定的范围。值与对象不同,它没有隐藏的元素,使开发者感到惊讶的地方很少。
一般来说,用于验证值数据类型的所有事务是在代码中定义上下边界,接着对值进行检查。
当我们使用对象的时候,数据值验证的问题就出现了。例如,你希望用户把几个字符串中的一个作为输入信息,那么使用列表框来减少用户的输入选择是有帮助的。当用户面对只有数个选项的列表框的时候,他们是不可能输入无效信息(例如脚本)的。
有时候你必须为问题设计独特的方案。例如,你如何确保某个特定的方法接收数量固定的、范围不连续的输入信息?在这种情况下枚举(enumeration)可能会节约时间。列表2显示了在代码中如何把枚举用于自动化的数据范围变化。
类表2:使用枚举检查数据的范围
请注意,DisplayString()的声明需要一个SomeStrings枚举类型的输入信息(参数)。调用者不可能使用其它的任何输入类型,这意味着DisplayString()方法自动地受到了保护。例如,你不可能把某个脚本作为输入信息,因为它不是正确的类型。
|