体系结构安全第二次作业:调研整理编译器优化引入的安全问题,形成调研报告提交

最新推荐文章于 2024-05-16 21:45:00 发布
最新推荐文章于 2024-05-16 21:45:00 发布
阅读量427 收藏 11
点赞数 9
分类专栏: 2024年程序员学习 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60388338/article/details/137805098
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

2.1 缓冲区溢出

缓冲区溢出(Buffer Overflow)是一种常见的安全漏洞,指的是在程序中的缓冲区(通常是数组)中写入超过其容量的数据,导致数据溢出到相邻的内存区域。

当程序向缓冲区写入数据时,如果数据的长度超过了缓冲区的容量,多余的数据将会溢出到相邻的内存区域,可能覆盖其他数据、重要的控制信息或函数返回地址。这种溢出可能导致以下问题:

数据破坏:溢出的数据可能覆盖其他重要数据,导致程序在后续操作中使用了被破坏的数据,从而产生错误的计算结果或不可预测的行为。

程序崩溃:溢出的数据可能覆盖程序的控制信息,例如函数返回地址或异常处理表,导致程序执行流程发生异常,进而导致崩溃或异常终止。

执行恶意代码:利用缓冲区溢出漏洞,攻击者可以在溢出的数据中插入恶意代码,并改变函数返回地址,使程序执行恶意代码。这种攻击方式被称为代码注入攻击,常用于执行任意代码、获取系统权限或进行远程控制。

2.2 优化过度的后果

在某些情况下,编译器可能会将一些常规的错误检查或边界检查代码删除,因为它们认为这些检查是不必要的。然而,这可能导致潜在的安全漏洞,例如缓冲区溢出或无效指针引用。

三、代码重排序(Code Reordering)

编译器优化通常会尝试重新排列代码以提高执行效率。然而,这种重排序可能会导致多线程程序中的竞态条件和同步问题,从而引入安全漏洞。

3.1 流水线

流水线(Pipeline)是计算机体系结构中的一种处理方式,它用于提高指令执行的效率。在流水线中,指令执行被划分为多个连续的阶段,每个阶段执行指令的不同部分,使得多个指令可以同时在不同的阶段进行处理,从而实现指令级并行。

一个典型的流水线通常包含以下几个阶段:

取指(Instruction Fetch):从内存中获取下一条要执行的指令。

译码(Instruction Decode):对取得的指令进行解码,确定指令的操作类型和操作数。

执行(Execute):执行指令的操作,可能涉及算术运算、逻辑运算、数据传输等。

访存(Memory Access):如果指令涉及内存操作,例如读取或写入数据,该阶段用于进行内存访问。

写回(Write Back):将执行结果写回到寄存器或内存中。

在流水线中,每个阶段都有一个专门的处理单元,称为流水线级(Pipeline Stage)。每个流水线级在一个时钟周期内执行指令的一部分,并将其传递给下一个流水线级。因此,在一个时钟周期内,多个指令可以同时在不同的流水线级上进行处理。

通过流水线,计算机可以实现指令级并行,提高指令的执行效率。当一个指令进入流水线后,后续的指令可以在不同的阶段同时执行,使得处理器的吞吐量得到提高。然而,流水线也带来了一些问题,例如流水线冲突(Pipeline Hazards)和分支预测错误(Branch Prediction Misprediction),需要采取一些技术手段进行解决,以确保流水线的正常运行和最大化的性能提升。

3.2 编译器代码重排序的可能后果

示例:编译器可能会对代码进行指令级重排,以利用现代CPU的乱序执行特性。在某些情况下,这可能会导致多线程程序中的数据竞争条件,从而导致意外结果或安全漏洞的出现。

四、优化不安全的代码(Optimizing Unsafe Code)

编译器优化可能会对不安全的代码进行转换,从而导致潜在的安全问题。不安全的代码通常使用低级别的操作,例如指针算术或类型转换,这些操作容易引入缓冲区溢出、空指针解引用等问题。

4.1 空指针解引用

空指针解引用(Null Pointer Dereference)是指在程序中对空指针进行解引用操作,即访问或操作指针所指向的内存区域,但该指针的值为null或空。

1. 当一个指针被赋予null值时,它指向的是一个无效的内存地址,没有有效的对象或数据。如果在程序中对空指针进行解引用操作,会导致未定义行为,可能引发以下问题:

2. 异常终止:解引用空指针可能导致程序崩溃或异常终止。这是因为操作系统会检测到程序试图访问无效的内存地址,并触发一个异常信号,导致程序的终止。

3.内存访问错误:解引用空指针可能导致试图读取或写入无效的内存位置。这可能会导致数据损坏、内存泄漏或其他未定义的行为。

安全漏洞:空指针解引用也可能被恶意攻击者利用,作为一种安全漏洞。攻击者可以通过构造特定的输入,使程序在解引用空指针时执行恶意代码,从而实现拒绝服务攻击、数据泄露或远程代码执行等攻击行为。

为了避免空指针解引用问题,开发人员可以采取以下措施:

1.初始化指针:在创建指针时,尽量避免将其初始化为null或空值。可以将指针初始化为有效的内存地址或使用默认值,以确保指针指向有效的数据或对象。

2.空指针检查:在对指针进行解引用操作之前,先进行空指针检查。可以使用条件语句或断言来验证指针是否为null,并根据需要采取适当的处理措施,如提供默认值、抛出异常或进行错误处理。

3.使用空指针:如果程序中存在需要使用空指针的情况,确保在使用空指针之前进行适当的检查和处理。可以使用条件语句或特定的控制流程来处理空指针情况,并确保不会引发异常或错误。

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
img

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

转存中…(img-L7c4r5CA-1713217522620)]

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

前端88338
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
现代体系结构优化编译器(带封面+英文版+文字可复制)
11-23
Optimizing compilers for modern architectures: a dependence based approach
体系结构安全第二次作业调研整理编译器优化引入安全问题形成调研报告提交(1)
2401_84265571的博客
04-27 531
数据破坏:溢出的数据可能覆盖其他重要数据,导致程序在后续操作中使用了被破坏的数据,从而产生错误的计算结果或不可预测的行为。程序崩溃:溢出的数据可能覆盖程序的控制信息,例如函数返回地址或异常处理表,导致程序执行流程发生异常,进而导致崩溃或异常终止。执行恶意代码:利用缓冲区溢出漏洞,攻击者可以在溢出的数据中插入恶意代码,并改变函数返回地址,使程序执行恶意代码。这种攻击方式被称为代码注入攻击,常用于执行任意代码、获取系统权限或进行远程控制。
jessica:Jessica-Jessie(安全分布式Javascript)编译器体系结构
05-17
Jessica-Jessie(安全分布式Javascript)编译器体系结构 注意:尚未准备好生产。 杰西卡(Jessica)现在仍然处于引导状态,但是欢迎您来贡献和讨论! 该目录包含Jessica,这是实现的编译器体系结构。 简而言之,...
CSCD70:CSCD70编译器优化
02-05
CSCD70编译器优化 该资料库包含多伦多大学CSCD70编译器优化课程的课程材料。 有什么问题吗? 如果您有任何疑问或疑虑,请在上打开一个新线程,以便所有同事都可以受益。 致谢 感谢Gennady Pekhimenko教授,Nandita...
cvm_compiler_v2:CVM编译器第二次迭代
04-11
cvm_compiler_v2 CVM编译器第二次迭代介绍CVM是一种高级语言,可编译为CVM字节码,而字节码本身可被转换为各种目标,例如: C,x86,ARM64,Python,JS ... CVM在语法和触摸Java方面均类似于Rust。这个项目的目的...
NyuziToolchain:LLVMClang C编译器到Nyuzi并行处理器体系结构的端口
01-31
这是基于的并行处理器体系结构的工具链。 它包括一个C / C ++编译器(clang),汇编器,链接器和调试器(lldb)。 尽管此项目包括C / C ++编译器,但LLVM后端可以支持任何语言。 问题问题可以直接发送至或...建造...
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 341
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
【容联云通讯注册/登录安全分析报告-严重低级问题
05-16 716
容联云通讯致力于为全球客户提供领先的智能通讯与营销科技服务,应该是通讯行业的独角兽,并且在美国上市,据了解,容联云通讯在早期使用的网易易盾的滑动验证码,但本次测评时,不知道为何换成自己研发的了, 1 缺钱 ,2 觉得第三方的不安全?不管哪种原因,总之是换成自己的了,并且出现这么严重的低级问题!在业界面前被打脸, 对比起自己作为高科技企业的地位!很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“
全面解析防静电措施:保障工业安全,预防静电危害
YOUSUTO的博客
05-16 142
静电是一种常见的物理现象,由于电荷的不平衡而产生。在特定的环境中,静电可能会带来危害,如损坏电子设备、引起火灾等。因此,采取适当的防静电措施是非常重要的。总之,防静电需要采取综合的措施,从环境、设备、人员等多个方面入手,才能有效地减少静电的危害。
主流五款文档透明加密软件分享|安全且稳定的加密软件
m0_69398711的博客
05-16 187
本文将为您推荐几款优秀的文档透明加密软件,帮助您更好地保护数据安全。Ping32、安在云系统、AxCrypt、Veracrypt以及BitLocker等文档透明加密软件都是目前市场上较为优秀的选择。它们采用了先进的加密技术,提供了丰富的安全管理功能,能够满足不同用户的需求。在数字化时代,选择一款合适的文档透明加密软件,无疑是企业和个人保护数据安全的重要措施之一。
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 950
Token安全网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token的安全性。
云端安全新纪元:云WAF的崛起
gmqqcsdn的博客
05-13 540
综上所述,云WAF在多个领域具有广泛的应用前景。它能够为企业和个人提供有效的网络安全防护解决方案,降低网络安全风险。然而,在实际应用过程中,云WAF也面临着一些挑战和问题,如如何保证防护效果、如何应对不断变化的攻击手段等。因此,我们需要不断研究和探索新的技术手段和方法,提高云WAF的防护能力和适应性。同时,政府、企业和个人也应加强网络安全意识培养和技术培训,共同营造安全、健康的网络环境。
Microsoft Dataverse中的安全概念
全网:架构师研究会
05-15 741
Dataverse的一个关键特性是其丰富的安全模型,可以适应许多业务使用场景。只有当环境中存在Dataverse数据库时,此安全模型才会发挥作用。作为管理员,您可能不会自己构建整个安全模型,但通常会参与管理用户、确保他们拥有正确的配置以及解决与安全访问相关的问题的过程。提示视频符号查看以下视频:Microsoft Dataverse – Security Concepts Shown In Dem...
安全生产月答题pk小程序怎么做
suncentwl的博客
05-16 275
根据实际需求,我们可以选择适合自己的开发框架,并结合相应的编程语言(如JavaScript、TypeScript等)和技术栈(如前端框架、后端服务等)进行开发。特别是在安全生产领域,通过小程序进行答题PK活动,不仅可以提高员工的安全意识,还能促进团队间的协作与交流。综上所述,制作一款安全生产月答题PK小程序需要考虑多个方面,包括功能需求、开发工具和技术栈选择、界面设计、题库管理、答题PK功能、数据统计与分析以及测试与优化等。我们需要收集用户的答题数据,包括答题时间、正确率、得分等,并进行统计和分析。
跨域数据流动:数据提取过程中的治理与安全双轮驱动
Shaidou_Data的博客
05-16 542
跨域数据流动为社会发展带来了极大的便利,但同时也带来了治理和安全的双重挑战。通过构建有序的数据流动体系和加强数据安全保障措施,实现治理与安全的双轮驱动策略,可以确保跨域数据流动的有序性和安全性,为社会发展提供有力支撑。在跨域数据流动的背景下,治理和安全是相辅相成的两个方面。在跨域数据流动的背景下,数据治理显得尤为重要。数据治理旨在确保数据的合法性、合规性和有效性,从而保障数据流动的有序性。数据安全旨在防止数据泄露、篡改和滥用,保障数据流动的安全性和可靠性。一、数据治理:构建有序的跨域数据流动体系。
ARM架构安全特性之隔离技术
security²-卢鸿波-安全二次方
05-13 617
一、保护代码和数据 二、TrustZone 三、安全世界之间的隔离 四、Secure-EL2扩展 五、保护主流计算工作负载 六、领域管理扩展(RME) 七、内存密集型可信应用程序 八、Arm动态TrustZone技术
【MySQL精通之路】MySQL8.0新增功能-安全和帐户管理
Anakki的博客
05-16 428
caching_sha2_password和sha256_password身份验证插件提供了比mysql_native_password插件(在8.0.34中已弃用)更安全的密码加密,并且caching_sha 2_password提供了比sha256_pass更好的性能。由于caching_sha2_password具有这些优越的安全性和性能特性,它现在是首选的身份验证插件,也是默认的身份验证插头,而不是mysql_native_password。完全访问组中的成员身份应该是受限制的和临时的。
网络安全(黑客)—自学
最新发布
heikewhite的博客
05-16 61
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。对于国家与企业的地位愈发重要,没有网络安全就没有国家安全。二、则是发展相对成熟入门比较容易。更有为国效力的正义黑客—红客联盟。网络安全(黑客技术)学习路线图。一、是市场需求量高;
现代体系结构优化编译器 pdf
09-28
现代体系结构优化编译器(PDF)是一种基于现代计算机体系结构原理的编译器优化方法。该方法旨在最大化程序的性能和效率,以提高计算机系统的整体运行速度。 首先,为了有效地利用现代体系结构的特性,优化编译器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值