openrefactory/c之添加整数类型(七)

最新推荐文章于 2024-05-01 23:27:26 发布
最新推荐文章于 2024-05-01 23:27:26 发布
阅读量386 收藏
点赞数
分类专栏: Vim openrefactory/c 重构 c 文章标签: 漏洞 安全 c vim openrefactoryc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fairy_tale304/article/details/46866251
版权
Vim 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
openrefactory/c
6 篇文章 0 订阅
订阅专栏
重构
6 篇文章 0 订阅
订阅专栏

aic(添加整数类型)转换是更准确的说是面向安全的程序转换,修复C中的整数漏洞问题。

一个添加整数类型(Add Integer Cast)的例子如下:

   //aic转换前
   21     ...
   22     short data=-1;
   23     if (data < 100) {
   24         memcpy(dest,src,data);
   25     ...
   //aic转换后
   21     ...
   22     short data=-1;
   23     if ((unsigned int)data < 100) {
   24         memcpy(dest,src,data);
   25     ...

在aic转换前,第24行的语句是会执行时,将data“看成”无符号数,而short型-1在计算机中以补码存储时候是1111 1111。会导致dest溢出,即由整数漏洞引起程序行为错误。

在aic转换后,(unsigned int)data大于100无法通过条件检查,从而避免了一个字符串拷贝错误。

在执行aic转换前,程序员选定一个整形变量调用aic转换,以下前提条件将被检查:

1. 该变量必须是整形的或是指向整形变量的指针;

2. 变量的应用是在一个不安全的上下文,例如memcpy中,控制语句,数组访问表达式或是返回值语句。

注意:aic转换不保证对程序产生一个改变,仅仅意味这发生转换的地方需要更多更深入的调研。例如,以上转换在控制语句处修复了一个整数漏洞,如果对memcpy的第三个参数data也进行aic转换,则这个转换只能是提醒程序员注意到C语言的弱类型系统,即对函数形参的aic转换并不能实质改变程序的行为。


fofofoff3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openrefactory/c之添加自反任务(四)
fairy_tale304的博客
07-13 341
这节应该讨论添加自反任务(Add Reflexive Assignment),官方网站打不开,论文里也没有,软件文档也没描述,我就搞不懂了,试着转换下也没成功。先空着。
openrefactory/c笔记之添加本地变量(三)
fairy_tale304的博客
07-13 352
在(二)中,我们讨论了重命名的相关操作,并且给出了详细的操作过程。所以,在以后的or/c系列文章,如非必要,将不在给出详细过程,重点转向每个重构方法的适用条件和重构(转换)后效果,以及其能解决的问题。 在上节中,遗留了一个问题,就是在出现错误日志的时候键入:CRefactorViewChanges仍然会执行转换。后来发现这不是我安装不正确或是ubuntu/vim/jdk与作者的不一致造成
openrefactory/c之移动表达式(五)
fairy_tale304的博客
07-13 270
移动表达式也是or/c重构功能之一。同(四)中还没弄清楚,过后更新。
openrefactory/c之移除无用表达式(六)
fairy_tale304的博客
07-13 369
Remove Useless Expression作用是移除本文件内的一个无用表达式。 1. 同样是将光标移动到表达式开头,输入命令:CRefactor rmexpr执行; 2. 执行结果是将这个表达式及包含这个表达式的语句删除,例如对于如下语句 12 if ( a < b ) { 13 printf("a is less than b\n"); 1
Linux服务器安全基础 - 查看入侵痕迹
eagle89的专栏
04-30 770
Linux服务器安全基础 - 查看入侵痕迹
CNCERT:关于汽车数据处理4项安全要求检测情况的通报 (第一批)
南七小僧的学海无涯
04-30 740
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
等保测评常见安全风险
weixin_64392888的博客
04-28 547
9. **网络分段风险**:二级及以上系统应将重要网络区域和非重要网络区域划分在不同网段或子网,避免生产网络和办公网络混在一起带来的风险。1. **信息泄露风险**:评估系统中存储、传输和处理的敏感信息的安全性,防止数据被非法获取,避免个人隐私泄露或公司机密泄露等问题。13. **个人信息保护风险**:二级及以上系统在未授权的情况下不应采集、存储用户个人隐私信息,避免违规行为带来的风险。5. **不安全的通信风险**:评估传输数据时的加密和解密机制,确保数据在传输过程中的安全,防止数据被窃听或篡改。
前端安全:XSS和CSRF攻击的防御策略
最新发布
2301_79507619的博客
05-01 183
**使用HTTP头部**:设置`Content-Security-Policy` (CSP) 响应头可以限制资源(如脚本、图片等)的加载来源,有效阻止外部恶意脚本的执行。- **编码输出**:对输出数据进行HTML编码,确保任何输出到HTML页面的内容都是安全的。- **使用CSRF令牌**:在客户端请求时发送一个随机生成的令牌,服务器进行验证令牌的有效性。- **验证Referer和Origin头部**:通过检查HTTP请求的`Referer`或`Origin`头部来验证请求是否来自合法的源。
网站内容下载软件有哪些 网站内容下载软件推荐 网站内容下载软件安全吗 idm是啥软件 idm网络下载免费
软妹子的博客
04-25 1125
它可以帮你解锁大半个互联网的下载工作(剩下那小半个,法律不允许解锁),突破速度限制、避开资源审查、绕过会员门槛,带给你前所未有的下载体验。在手机上打开一段想要下载的短视频,点击“分享”按钮,选择“复制链接”(注意这里不要点击“下载”按钮,不然下载的视频是带有抖音官方水印的)。将刚才复制的链接用浏览器打开,在视频加载完成后,idm的下载按钮就会自动弹出,点击“下载该视频”。这时候,选择下载分类为“音乐”,点击“开始下载”。在新弹出的下载信息窗口中,选择短视频下载的分类和保存路径,点击“开始下载”。
Go语言的map并发读写如何保证安全
技术笔记
04-28 935
为了保证Go语言中map的并发安全,我们可以使用互斥锁(如sync.Mutex或)来保护对map的访问,或者使用并发安全的map实现(如sync.Map选择哪种方式取决于具体的应用场景和需求。在大多数情况下,使用互斥锁是一个灵活且可靠的选择,而sync.Map则适用于特定的读多写少场景。推荐阅读Golang实战项目分享Golang专栏Go语言异常处理方式。
网络安全实训Day16
Yisitelz的博客
04-26 723
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
2024 一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】选拔赛样题
Aluxian_的博客
04-28 1151
任务 1:找到 A 集团总站点,对目标进行渗透测试,找到站点的后台管理页面以及该站点运行的系统账户,将端口号与账户名作为flag 值提交, 提交格式:flag{后台端口+服务运行账户};1.访问目标网页下载pwn程序,对该程序进行安全审计,通过相应的漏洞得到隐藏的flag,提交格式:flag{******}。5.访问目标网站下载MISC.zip文件,将文件5中的flag值提交,提交格式:flag{******}。1.访问目标网站下载MISC.zip文件,将文件1中的flag值提交,提交格式:flag{
安全运营之通行字管理
学而思(xiejava的blog)
04-25 710
安全管理所指的通行字指的是对用于身份验证的账号密码或口令的管理。在计算机系统、网络服务、数据库管理等领域,通行字(或称账号口令、密码)是用于验证用户身份的重要机制。通行字管理的核心目标是确保只有授权用户才能访问系统资源,同时保护敏感信息不被未授权访问。通行字除了自然人登录信息系统时所必需的用于鉴别登录者身份和权限信息的账号和口令外,还包括信息系统软件之间互相调用数据所需的账号和口令。
如何安全的使用密码登录账号(在不知道密码的情况下)
yy779587715的博客
05-01 158
6、按住Alt不放,点击之后,就自动复制了账号对应的密码。这样就能在完全不知道密码的情况下(就是不用去记密码了),直接得到密码,再到需要的地方粘贴它就ok了,这样简直不能再方便再懒了┐(´∀`)┌。4、我再随机一个密码吧,显得自然些。那之前的旧密码就去下面了,不用管它了。2、看到鼠标移动到密码那一栏有提示,按住Ctrl或者Alt点击或者双击就能复制内容,这方法虽然快,但还是能看到密码。我鼠标移动到“个人QQ”那个账号上面,按住Ctrl不放,点击之后,就自动复制了账号。1、打开工具,进入账号密码模块,如图。
Windows操作系统安全精讲视频课程
2301_79581760的博客
04-26 564
1.1IT运维职位需要学习的技能.mp4 1-2利用缓存的网络凭据入侵服务器.mp4 1-3信息安全包括哪些方面.mp4 1-4管理本地用户账户和组.mp4 1-5创建检查删除计算机上隐藏的账户.mp4 1-6用户账户控制(UAC)详解.mp4 1-7使用windowsPE新设置管理员密码.mp4 1-8使用LC5找回Windows账户密码.mp4
网络安全知识点
lv785的博客
04-26 942
概念:IPSec 是“IP 安全”的缩写,是IETF在开发 IPv6时为保证IP数据报安全而设计的,是IPv6的一个组成 部分、是IPv4的可选项,其基本目的就是把安全机制引入 IP协议。欺骗:指利用主机之间的正常信任关系,通过修改IP数据包中的源地址,以绕开主机或网络访问控制、隐藏攻击来源的攻击技术。概念:入侵检测就是对入侵行为的 检测与发现,即在计算机网络系统中的若干关键点搜集信息,通过对所收集信息的分析发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。简要分析RSA算法的安全性得以保障的原因。
记录浏览器打开网站拦截提示不安全解决方法
仿站、源码搭建/迁移技术博客
04-27 1191
浏览器可能会因为多种原因显示“不安全”的警告,这通常是由于安全设置不当或配置错误造成的。
Java安全之Mojarra JSF反序列化
Ly768768的博客
04-26 844
JavaServer Faces,新一代的Java Web应用技术标准,吸收了很多Java Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。其中常用的是Sun(现在的Oracle)发布的Mojarra和Apache发布的MyFacesJavaServerFaces(JSF)概念在几年前就已经引入,现在主要在J2EE中使用。
保序加密技术:保护数据有序性的安全方案
jiamisoft的博客
04-30 370
保序加密技术是一种特殊的加密方式,它允许对加密数据进行特定的有序操作,同时保持数据的加密状态。与传统的加密技术不同,OPE允许用户在不解密的情况下,对加密的数据进行范围搜索和比较,因为加密后的数据保持了原始数据的顺序特性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值