CWE-127: Buffer Under-read(缓冲区下界之下读取)

最新推荐文章于 2023-11-28 23:25:52 发布
最新推荐文章于 2023-11-28 23:25:52 发布
阅读量554 收藏 1
点赞数
分类专栏: 漏洞检查 文章标签: 内存越界 缓冲区越界 内存溢出 安全漏洞 漏扫工具

 ID: 127

类型:变量
结构:简单

状态:草稿

描述

软件使用缓冲区访问机制(如索引或指针)从缓冲区读取数据,这些索引或指针引用目标缓冲区之前的内存位置。

扩展描述

这通常发生在指针或其索引减量到缓冲区之前的位置、指针算术在有效内存位置开始之前的位置或使用负索引时。这可能导致敏感信息暴露或可能发生碰撞。

关联视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

实现

 

应用平台

 语言

C (出现的可能性不确定)

C++ (出现的可能性不确定)

后果

范围

冲击

可能性

保密性

技术冲击: 内存读取

 

种属

 

关系

类型

ID

名称

属于

970

SFP Secondary Cluster: Faulty Buffer Access

 

plstudio1
关注
专栏目录
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 531
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
【悟空云课堂】第四十一期:CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF)
Tianqi_Wukong的博客
04-02 874
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第四十一期:CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF) 01 什么是csrf漏洞? CSRF跨站请求伪造,主要表现为: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是.
CWE-124: Buffer Underwrite ('Buffer Underflow') (缓冲区下界之下写入)
plstudio1的博客
03-25 1632
ID: 124 类型:基础 结构:简单 状态:未完成 描述 软件使用在缓冲区起始内存地址之前的位置索引或指针进行相应位置的写入操作。 扩展描述 这通常发生在指针或其索引递减到缓冲区起始位置之前的位置、指针算术在有效内存位置开始之前的位置或使用负索引时。 关联视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视...
CWE-126: Buffer Over-read缓冲区上界之上读取
plstudio1的博客
03-27 1534
编号: 126 摘要:变量 结构:简单 状态:草稿t 描述 软件通过缓冲区访问机制如索引或指针等方式从缓冲区上界之外读取数据。 扩展描述 此弱点一般是当指针或者索引累加到一个超出边界的位置时发生;或者当指针计算结果指向合法内存区间之外时发生。它可能会导致敏感信息外泄或系统崩溃。 关系 与“研究层面”视图 (CWE-1000)相关 ...
5-文件I/O—read/write函数
网络安全
06-24 1780
1. 文件I/O—read函数   在linux系统中最常用,基本的读写文件I/O的系统调用就是read函数和write函数。   read函数表示从fd指向的文件中读取cont个字节的数据。 函数原型: #include<unistd.h> ssize_t read(int fd, void *buf, size_t count
java.nio.BufferUnderflowException
热门推荐
无知人生,记录点滴
12-04 6万+
完整的错误信息:Exception in thread "main" java.nio.BufferUnderflowException at java.nio.HeapByteBuffer.get(HeapByteBuffer.java:151) at com.weixiao.network.GatewayInstanceTest.main(GatewayInstanceTest.java:
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
Tianqi_Wukong的博客
01-20 679
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information) 什么是通过错误消息导致的信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建: 1、自生成的:源代码显式构造错误消息并将
CWE-73: External Control of File Name or Path
最新发布
Pollias的博客
11-28 877
解决Veracode的CWE-73:“外部控制文件名或路径”
Read() 和 ReadLine() 的区别-------缓冲区问题
liuzebin1195389353的专栏
08-11 1925
Read() 和 ReadLine() 的区别-------缓冲区问题 最近很多人谈起为什么Read() 之后再 ReadLine(),没有获取到值。 但是 ReadLine() 之后 再 Read() ,却能够获取到值。   【这里有缓冲区的问题】 如以下代码: Console.WriteLine("请输入一个字符:"); int i = C
认识CWE和CVE
manok的专栏
05-18 1万+
在源代码安全领域工作的朋友都知道CWE和CVE,但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下,供刚进入该领域人员的参考。 CWE(Common Weakness Enumeration,通用缺陷枚举)。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 CVE (Common Vulnerabilities & Exposures,常用漏洞和风险)...
缓冲区的基本使用--读入文件时缓冲区没有任何的体现
footprint01的博客
08-31 820
package com.foot.lesson03; import java.io.BufferedOutputStream; import java.io.BufferedReader; import java.io.File; import java.io.FileOutputStream; import java.io.FileReader; import java.io.IOExcept...
【WuKong悟空】关于C/C++缓冲区溢出的防范修补方法
Tianqi_Wukong的博客
03-26 961
【WuKong悟空】C/C++检测性能及能力介绍:缓冲区溢出 > Wukong目前支持对C/C++、Java所编写的软件产品进行安全漏洞和缺陷的检测,以下对不同语言的检测性能及能力进行介绍。 欢迎关注公众号“中科天齐”(id:woocoom)获取更多资讯,一起涨知识! 安全漏洞描述: 缓冲区溢出漏洞是软件安全漏洞中最高危的漏洞类型之一,并且非常普遍和常见,在各种操作系统和应用软件中广泛存...
java.nio.BufferUnderflowException 分析
abc123maxiaolong的专栏
04-28 3063
  在写一个简单的Buffer的小例子的时候,抛出一个异常: Exception in thread "main" java.nio.BufferUnderflowException at java.nio.Buffer.nextGetIndex(Buffer.java:498) at java.nio.HeapByteBuffer.getChar(HeapByteBuffer.ja...
FFMpeg的码率控制
07-23 929
mediaxyz是一位研究ffmpeg有三年的高人了,这几天一直在折腾ffmpeg中的x264,就是不知道该如何控制码率,主要是参数太多,也不知道该如何设置,在google上search了一下,这方面的介绍为0,那就找mediaxyz请教请教吧,这些可都是经验,非常宝贵! 以下是与mediaxyz在QQ上聊天的记录,只有一部分,因为QQ把之前的谈话删除了,但基本上精髓都可这里了。...
CWE-805: Buffer Access with Incorrect Length Value(以不正确的长度值方位缓冲区
plstudio1的博客
06-04 581
ID: 805 类型:基础 结构:简单 状态:未完成 描述 软件使用顺序操作来读取或写入缓冲区,但它使用的长度值不正确,导致它访问超出缓冲区界限的内存。 扩展描述 当长度值超过目标的大小时,可能发生缓冲区溢出。 相关视图 “研究概念”视图(CWE-1000) Nature Type ...
字符读取缓冲区-读一行的方法readLine()
blacop的博客
07-21 5164
/*字符读取缓冲区-读一行的方法readLine() 字符读取缓冲区: 该缓冲区提供了一个一次读一行的方法readLine(),方便与对文本数据的获取。 当返回null时,表示读到文件末尾。 */ import java.io.*; class BufferedReaderDemo { public static void main(String[] args) throws IOEx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值