CWE-195: Signed to Unsigned Conversion Error(有符号到无符号转换错误)

最新推荐文章于 2023-05-29 15:07:08 发布
最新推荐文章于 2023-05-29 15:07:08 发布
阅读量1.4k 收藏
点赞数
分类专栏: 漏洞检查 文章标签: 有符号转无符号 有符号到无符号转换 整数溢出 数据越界 隐式强制转换

 ID: 195

类型:变量
结构:简单

状态:草稿

描述

软件使用有符号数据将其强制转换到无符号数据,如果有符号数据的值不能用无符号数据表示,则会产生意外的值

扩展描述

依赖有符号数和无符号数之间的隐式强制转换是很危险的,因为结果可能具有意外的值,并且违反了程序所做的假设。

通常,函数会返回负值来表示失败。当函数的结果用作大小参数时,使用这些负返回值可能会产生意外的结果。例如,如果将负的大小值传递给标准内存复制或分配函数,它们将隐式转换为一个大的无符号值。这可能导致可利用的缓冲区溢出或下溢情况。

相关视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

实现

 

应用平台

语言

C (出现的可能性不确定)

C++ (出现的可能性不确定)

后果

范围

冲击

可能性

完整性

技术冲击: 未知状态

有符号和无符号值之间的转换可以导致各种错误,但从安全角度来说,最常见的是同整数溢出和缓冲区溢出漏洞相关联。

 

示例

例1

在本例中,变量金额在返回时可以保留负值。因为函数声明为返回无符号int,所以金额将隐式转换为无符号。

(问题代码)

Example Language:

unsigned int readdata () {

int amount = 0;
...
if (result == ERROR)
amount = -1;
...
return amount;

}

如果满足上述代码中的错误条件,则在使用32位整数的系统上,readdata()的返回值将为4294967295。

例2

在本例中,根据accecssMainframe()的返回值,变量量在返回时可以保持负值。因为函数被声明为返回无符号值,所以金额将隐式转换为无符号数字。

(问题代码)

Example Language:

unsigned int readdata () {

int amount = 0;
...
amount = accessmainframe();
...
return amount;

}

如果accessMainframe()的返回值为-1,那么在使用32位整数的系统上,readData()的返回值将为4294967295。

例3

以下代码用于从套接字读取传入数据包并提取一个或多个头。

(问题代码)

Example Language:

DataPacket *packet;
int numHeaders;
PacketHeader *headers;

sock=AcceptSocketConnection();
ReadPacket(packet, sock);
numHeaders =packet->headers;

if (numHeaders > 100) {

ExitError("too many headers!");

}
headers = malloc(numHeaders * sizeof(PacketHeader);
ParsePacketHeaders(packet, headers);

代码执行检查以确保数据包不包含太多的头。但是,numHeaders被定义为带符号的int,因此它可能是负数。如果传入数据包指定了一个值,例如-3,那么malloc计算将生成一个负数(如果每个头最多可以有100个字节,则为-300)。当将此结果提供给malloc()时,首先将其转换为大小类型。然后,该转换会产生一个较大的值,如4294966996,这可能会导致malloc()失败或分配非常大的内存量(CWE-195)。有了适当的负数,攻击者可以诱骗malloc()使用非常小的正数,然后分配比预期小得多的缓冲区,这可能导致缓冲区溢出。

例4

此示例处理由一系列可变长度结构组成的用户输入。输入的前2个字节指示要处理的结构的大小。

(问题代码)

Example Language:

char* processNext(char* strm) {

char buf[512];
short len = *(short*) strm;
strm += sizeof(len);
if (len <= 512) {

memcpy(buf, strm, len);
process(buf);
return strm + len;

}
else {

return -1;

}

}

程序员在结构大小上设置了一个上限:如果大于512,则不会处理输入。问题是len是有符号短,因此对最大结构长度的检查是用有符号值完成的,但是len被转换为无符号整数以调用memcpy(),负位将被扩展,从而为无符号整数生成一个巨大的值。如果len为负,那么结构似乎有一个适当的大小(将采用if分支),但是memcpy()复制的内存量将非常大,攻击者将能够用strm中的数据溢出堆栈。

例5

在下面的示例中,可以请求memcpy移动比假定的内存段大得多的内存段:

(问题代码)

Example Language:

int returnChunkSize(void *) {


/* if chunk info is valid, return the size of usable memory,

* else, return -1 to indicate an error

*/
...

}
int main() {

...
memcpy(destBuf, srcBuf, (returnChunkSize(destBuf)-1));
...

}

如果returnChunkSize()遇到错误,它将返回-1。请注意,在memcpy操作(cwe-252)之前不会检查返回值,因此-1可以作为size参数传递给memcpy()(cwe-805)。因为memcpy()假定该值是无符号的,所以它将被解释为maxint-1(cwe-195),因此将复制比目标缓冲区(cwe-787、cwe-788)可能可用的内存多得多的内存。

plstudio1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CWE-196: Unsigned to Signed Conversion Error无符号到有符号转换错误
plstudio1的博客
04-10 683
ID: 196 类型:变量 结构:简单 状态:草稿 描述 软件使用无符号数据强制转换成有符号数据,如果无符号数据的值不能用有符号数据表示,则会产生意外的值。 扩展描述 尽管无符号到有符号转换比有符号无符号转换更不常见,但无符号到有符号转换是危险的缓冲区下溢的完美前兆,允许攻击者向下移动堆栈,否则在正常缓冲区溢出条件下可能无法访...
符号数到无符号转换时遇到的问题
weixin_30335353的博客
06-27 151
  最近在调试问题时发现,在调用API读写一个地址时,发现只要访问这个地址程序就会异常,使用trace32跟踪发现,存放地址的X0寄存器的值的低32位是对的,就是我们期望的地址,但是高32位全部为1,对应的汇编指令是ldr w1, [x0],从而导致CPU访问了一个不存在的地址。   经过分析发现,这个API的形参中存放地址的变量的数据类型是int,但是实际访问地址用的却是unsign...
C语言有符号整数隐式转换无符号整数出现的陷阱
nexuszhoule的专栏
04-16 1845
#include #include int main() { char *s = "rt"; //长度为2 char *t = "tyr"; //长度为3 printf("%d\n", strlen(s)-strlen(t)>0); //1 printf("%d\n", (int)(strlen(s)-strlen(t))>0); //0
C语言——signedunsigned数据转换
口袋里的跳跳糖
11-01 1109
#include "stdio.h" int main() { short x; short y = 0xf9db; unsigned short z = 0xf9db; int i = 10; unsigned int j = 10; printf("y = %d\r\n", y);//有符号,直接可以输出-1573 printf("z = %d\r\n", z);//无符...
signed转换unsigned(关于符号扩展)
(っ°Д°)っ  #
09-04 1028
首先明确基础知识 char 和 bool 是1个字节 float 和 int 是4个字节 double是8个字节 32/64位系统只和指针的字节数有关,不影响int这些类型的大小 指针即地址,32=4*8,一个字节(bit)8byte,所以一个32位系统指针是4字节 给定一个变量,例如char a=-1,红色为最高位,符号位 其signed形式:10000001 则其unsig
unsignedsigned之间的转换关系
liyan622的专栏
10-28 7307
<br /><br />在定义整数变量的型态的时候可以加上 unsigned 或是 signed, 例如<br /> <br />unsigned char<br /> <br />unsigned short (int)<br /> <br />unsigned long (int)<br /> <br />unsigned int<br /> <br />----------<br /> <br />signed char<br /> <br />signed short (int)<br /> <br
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
Tianqi_Wukong的博客
01-20 626
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information) 什么是通过错误消息导致的信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建: 1、自生成的:源代码显式构造错误消息并将
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 452
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
最新发布
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
【悟空云课堂】第四十一期:CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF)
Tianqi_Wukong的博客
04-02 828
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 【悟空云课堂】第四十一期:CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF) 01 什么是csrf漏洞? CSRF跨站请求伪造,主要表现为: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是.
【悟空云课堂】第七期:不安全的反射漏洞(CWE-470: Use of Externally-Controlled Input to Select Classes or Code)
Tianqi_Wukong的博客
01-20 609
【悟空云课堂】第七期:不安全的反射漏洞 什么是不安全的反射漏洞? 反射这一概念最早由编程开发人员Smith在1982年提出,主要指应用程序访问、检测、修改自身状态与行为的能力。这一概念的提出立刻吸引了编程界的极大关注,各种研究工作随之展开,随之而来引发编程革命,出现了多种支持反射机制的面向对象编程语言。 *在Java编程语言中,Java反射机制主要提供了以下功能: *在运行时判断任意一个对象所属的类; *在运行时构造任意一个类的对象; *在运行时判断任意一个类所具有的成员变量和方法; *在运行时调用任意一个
CWE-194: Unexpected Sign Extension(意外的符号扩展)
plstudio1的博客
04-08 403
ID: 194 类型:基础 结构:简单 状态:未完成 描述 软件对一个数字执行一个操作,当该数字转换为取值范围较大的数据类型时,该数字将被符号扩展。当原始数字为负数时,这可能会产生意外的值,导致产生弱点。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入模式 阶段 ...
signedunsigned转换方法C语言
popleple的博客
03-17 3183
unsigned signed互相转换
中科之旅------开发PIC16F18855过程中遇到的困难以及解决方案
u013308744的专栏
03-27 2842
一来让自己可以回顾开发历程,二来帮助后来者快速上手,知识总是需要共享才有价值。 1.遇到了无法解析标识符 解决方法:我的项目之前创建在c盘admin下面,后来换到D盘全英文目录下就没有报错可以正常通过编译了。 2.SSP1CON2 = SSP1CON2 | bit0;这个语句编译的时候遇到warming: mian.c:205: warning: (373) implicit sig...
0-1 关于数据类型、unsigned_type与signed_type间的转换
JohnTao2020的博客
03-13 3144
0-1 关于数据类型、unsigned_type 一.数据类型 //https://www.geeksforgeeks.org/c-data-types/ Data Type Size (in bytes) Range exponent short int 2 -32,768 to 32,767 -215~~215-1 unsigned short int 2 0 to 65,...
DC综合问题总结与修改
baidu_34971492的博客
05-29 1216
assign A=bus data reg[7:0],这样写 verilog 就会把 bus data reg[7:0]默认为一个无符号数,可是我们的 A 要求是一个有符号数,故就会出现上面列举的 warning,正确的写法应该是 wire signed 7:01A;signed 将一个数定义成有符号数同样当出现 signed to unsigned 这样的 warning后,我们用上面同样的方法进行分析就可以解决了。总的来说就是我们要给一个有符号数的信号赋值,那么我们就应该保证等号两边都是有符号数,
Verilog基础知识(有符号数运算规则,加减运算,乘法运算中的符号位拓展问题)
kebu12345678的博客
01-25 6142
https://blog.csdn.net/maxwell2ic/article/details/80620991   rule of thumb The format of the signed type is two’s complement. 有符号数均为补码表示 If any operand in an expression is unsigned the operation is ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值