यह कोड बफर अतिप्रवाह हमलों के लिए असुरक्षित क्यों है?

int func(char* str)
{
   char buffer[100];
   unsigned short len = strlen(str);

   if(len >= 100)
   {
        return (-1);
   }

   strncpy(buffer,str,strlen(str));
   return 0;
}

यह कोड एक बफर अतिप्रवाह हमले के लिए असुरक्षित है, और मैं यह पता लगाने की कोशिश कर रहा हूं कि क्यों। मैं सोच रहा हूँ कि यह lenएक के shortबजाय घोषित होने के साथ करना है int, लेकिन मैं वास्तव में निश्चित नहीं हूं।

कोई विचार?

अधिकांश कंपाइलरों पर a का अधिकतम मान unsigned short65535 है।

ऊपर का कोई भी मान जिसके चारों ओर लिपटा होता है, इसलिए 65536 0 हो जाता है, और 65600 65 हो जाता है।

इसका मतलब यह है कि सही लंबाई के लंबे तार (जैसे 65600) चेक पास करेंगे, और बफर को ओवरफ्लो करेंगे।

size_tके परिणाम को संग्रहीत करने के लिए उपयोग करें strlen(), नहीं unsigned short, और lenएक अभिव्यक्ति की तुलना करें जो सीधे आकार को एन्कोड करता है buffer। उदाहरण के लिए:

char buffer[100];
size_t len = strlen(str);
if (len >= sizeof(buffer) / sizeof(buffer[0]))  return -1;
memcpy(buffer, str, len + 1);

समस्या यहाँ है:

strncpy(buffer,str,strlen(str));
                   ^^^^^^^^^^^

यदि स्ट्रिंग लक्ष्य बफर की लंबाई से अधिक है, तो strncpy अभी भी इसे कॉपी करेगा। आप बफर के आकार के बजाय कॉपी करने के लिए स्ट्रिंग के पात्रों की संख्या को आधार बना रहे हैं। ऐसा करने का सही तरीका इस प्रकार है:

strncpy(buffer,str, sizeof(buff) - 1);
buffer[sizeof(buff) - 1] = '\0';

यह क्या करता है शून्य समाप्ति चरित्र के लिए बफर माइनस एक के वास्तविक आकार में कॉपी किए गए डेटा की मात्रा को सीमित करता है। फिर हम बफर में अंतिम बाइट को एक अतिरिक्त सुरक्षा के रूप में शून्य वर्ण में सेट करते हैं। इसका कारण यह है क्योंकि strncpy n बाइट्स तक की प्रतिलिपि बना देगा, जिसमें समाप्ति नल भी शामिल है, यदि strlen (str) <len - 1. यदि नहीं, तो null की प्रतिलिपि नहीं बनाई गई है और आपके पास एक क्रैश परिदृश्य है क्योंकि अब आपके बफ़र में एक अव्यवस्थित है स्ट्रिंग।

उम्मीद है की यह मदद करेगा।

संपादित करें: दूसरों से आगे की परीक्षा और इनपुट पर, फ़ंक्शन के लिए एक संभावित कोडिंग निम्नानुसार है:

int func (char *str)
  {
    char buffer[100];
    unsigned short size = sizeof(buffer);
    unsigned short len = strlen(str);

    if (len > size - 1) return(-1);
    memcpy(buffer, str, len + 1);
    buffer[size - 1] = '\0';
    return(0);
  }

चूँकि हम पहले से ही स्ट्रिंग की लंबाई जानते हैं, इसलिए हम स्ट्रिंग को उस स्थान से कॉपी करने के लिए मेम्पी का उपयोग कर सकते हैं, जिसे बफर में स्ट्रिंग द्वारा संदर्भित किया गया है। ध्यान दें कि strlen (3) (FreeBSD 9.3 सिस्टम पर) के लिए मैनुअल पेज के अनुसार, निम्नलिखित कहा गया है:

 The strlen() function returns the number of characters that precede the
 terminating NUL character.  The strnlen() function returns either the
 same result as strlen() or maxlen, whichever is smaller.

जो मैं व्याख्या करता हूं कि स्ट्रिंग की लंबाई में शून्य शामिल नहीं है। यही कारण है कि मैं अशक्त शामिल करने के लिए लेन + 1 बाइट्स की प्रतिलिपि बनाता हूं, और यह सुनिश्चित करने के लिए परीक्षण की जांच करता है कि लंबाई <बफर का आकार - 2. शून्य से एक क्योंकि बफर स्थिति 0 पर शुरू होता है, और शून्य से एक और सुनिश्चित करने के लिए एक कमरा है। अशक्त के लिए।

संपादित करें: बाहर निकलता है, कुछ का आकार 1 से शुरू होता है जबकि पहुंच 0 से शुरू होती है, इसलिए -2 पहले गलत था क्योंकि यह किसी भी चीज के लिए त्रुटि लौटाएगा> 98 बाइट लेकिन यह> 99 बाइट होना चाहिए।

EDIT: यद्यपि एक अहस्ताक्षरित शॉर्ट के बारे में उत्तर आम तौर पर सही होता है क्योंकि अधिकतम लंबाई जिसे 65,535 वर्णों का प्रतिनिधित्व किया जा सकता है, यह वास्तव में मायने नहीं रखता है क्योंकि यदि स्ट्रिंग उससे अधिक लंबी है, तो मान चारों ओर लपेट जाएगा। यह 75,231 (जो कि 0x000125DF है) लेने और शीर्ष 16 बिट्स को आप 9695 (0x000025DF) देने की तरह है। एकमात्र समस्या जो मुझे इसके साथ दिखाई देती है, वह 65,535 के पिछले 100 वर्णों की है, क्योंकि लंबाई की जाँच प्रतिलिपि की अनुमति देगी, लेकिन यह केवल सभी मामलों में स्ट्रिंग के पहले 100 वर्णों की नकल करेगा और स्ट्रिंग को समाप्त कर देगा । तो रैपराउंड मुद्दे के साथ, बफर अभी भी बह नहीं जाएगा।

यह स्ट्रिंग की सामग्री और आप इसके लिए क्या उपयोग कर रहे हैं, इसके आधार पर सुरक्षा जोखिम हो सकता है या नहीं। यदि यह केवल सीधे पाठ है जो मानव पठनीय है, तो आमतौर पर कोई समस्या नहीं है। आपको बस एक काट दिया गया स्ट्रिंग मिलता है। हालाँकि, अगर यह URL या SQL कमांड अनुक्रम जैसा कुछ है, तो आपको समस्या हो सकती है।

भले ही आप उपयोग कर रहे हों strncpy, कटऑफ की लंबाई अभी भी पास किए गए स्ट्रिंग पॉइंटर पर निर्भर है। आपको पता नहीं है कि स्ट्रिंग कितनी लंबी है (पॉइंटर के सापेक्ष नल टर्मिनेटर का स्थान, वह है)। इसलिए strlenअकेले फोन करना आपको भेद्यता के लिए खोल देता है। यदि आप अधिक सुरक्षित होना चाहते हैं, तो उपयोग करें strnlen(str, 100)।

पूर्ण कोड सही होगा:

int func(char *str) {
   char buffer[100];
   unsigned short len = strnlen(str, 100); // sizeof buffer

   if (len >= 100) {
     return -1;
   }

   strcpy(buffer, str); // this is safe since null terminator is less than 100th index
   return 0;
}

लपेटने के साथ उत्तर सही है। लेकिन एक समस्या है जो मुझे लगता है कि उल्लेख नहीं किया गया था (len> = 100)

ठीक है अगर लेन 100 होगा तो हम 100 तत्वों की नकल करेंगे जो हमारे पास \ 0 नहीं होगा। इसका मतलब साफ है कि उचित समाप्त स्ट्रिंग के आधार पर किसी अन्य फ़ंक्शन का मूल सरणी से परे चलना होगा।

C से स्ट्रिंग प्रॉब्लम IMHO है जो न के बराबर है। आप कॉल करने से पहले कुछ हद तक बेहतर कर सकते हैं, लेकिन यह भी मदद नहीं करेगा। कोई सीमा जाँच नहीं है और इसलिए बफर ओवरफ्लो हमेशा हो सकता है और दुर्भाग्य से होगा ...।

strlenएक से अधिक बार कॉल करने से जुड़े सुरक्षा मुद्दों से परे , किसी को आमतौर पर स्ट्रिंग के तरीकों का उपयोग नहीं करना चाहिए जिनकी लंबाई ठीक से जानी जाती है [अधिकांश स्ट्रिंग कार्यों के लिए, केवल एक बहुत ही संकीर्ण मामला है जहां उनका उपयोग किया जाना चाहिए - स्ट्रिंग्स पर जिसके लिए एक अधिकतम लंबाई की गारंटी दी जा सकती है, लेकिन सटीक लंबाई ज्ञात नहीं है]। एक बार इनपुट स्ट्रिंग की लंबाई और आउटपुट बफर की लंबाई ज्ञात होने के बाद, किसी को यह पता लगाना चाहिए कि किसी क्षेत्र को कितना बड़ा कॉपी किया जाना चाहिए और फिर memcpy()वास्तव में कॉपी में प्रदर्शन करने के लिए उपयोग करना चाहिए । यद्यपि यह संभव है कि केवल 1-3 बाइट्स की एक स्ट्रिंग की नकल करते समय strcpyयह बेहतर हो सकता memcpy()है, इसलिए कई प्लेटफ़ॉर्म पर memcpy()बड़े स्ट्रिंग्स के साथ काम करते समय दो बार से अधिक तेजी से होने की संभावना है।

हालाँकि कुछ स्थितियाँ ऐसी हैं जहाँ सुरक्षा प्रदर्शन की कीमत पर आएगी, यह एक ऐसी स्थिति है जहाँ सुरक्षित दृष्टिकोण भी तेज़ है। कुछ मामलों में, यह कोड लिखना उचित हो सकता है जो अजीब व्यवहार करने वाले इनपुट के खिलाफ सुरक्षित नहीं है, अगर इनपुट की आपूर्ति करने वाले कोड सुनिश्चित कर सकते हैं कि वे अच्छी तरह से व्यवहार किए जाएंगे, और यदि गैर-व्यवहार किए गए इनपुट के खिलाफ रख-रखाव प्रदर्शन को बाधित करेगा। यह सुनिश्चित करना कि स्ट्रिंग की लंबाई को केवल एक बार जांचा जाता है , प्रदर्शन और सुरक्षा दोनों को बेहतर बनाता है , हालांकि स्ट्रिंग की लंबाई को मैन्युअल रूप से ट्रैक करते हुए भी गार्ड सुरक्षा में मदद करने के लिए एक अतिरिक्त काम किया जा सकता है: प्रत्येक स्ट्रिंग के लिए जो एक अनुगामी नल की अपेक्षा की जाती है, अनुगामी नल को स्पष्ट रूप से लिखें स्रोत स्ट्रिंग की अपेक्षा से यह है। इस प्रकार, यदि कोई एक strdupसमकक्ष लिख रहा था :

char *strdupe(char const *src)
{
  size_t len = strlen(src);
  char *dest = malloc(len+1);
  // Calculation can't wrap if string is in valid-size memory block
  if (!dest) return (OUT_OF_MEMORY(),(char*)0); 
  // OUT_OF_MEMORY is expected to halt; the return guards if it doesn't
  memcpy(dest, src, len);      
  dest[len]=0;
  return dest;
}

ध्यान दें कि अंतिम विवरण को आम तौर पर छोड़ा जा सकता है यदि मेमसीपी ने len+1बाइट्स को संसाधित किया था , लेकिन स्रोत स्ट्रिंग को संशोधित करने के लिए एक और धागा था, जिसके परिणामस्वरूप गैर-एनयूएल-समाप्त गंतव्य स्ट्रिंग हो सकता है।