软件安全与脆弱性分析-对于freenote小程序的Poc分析

最新推荐文章于 2024-08-23 13:27:02 发布
最新推荐文章于 2024-08-23 13:27:02 发布
阅读量2k 收藏 1
点赞数
分类专栏: 安全相关 文章标签: 软件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_29447759/article/details/79304236
版权
本文介绍了对freenote小程序的软件安全分析,重点在于Poc分析。通过动态调试和功能函数的伪代码,揭示了程序的存储结构和漏洞。在Poc测试中,发现删除功能存在错误,可能导致double free错误,进而引发程序崩溃。文章还探讨了利用堆内存管理和GOT表项构造漏洞利用的方法。
摘要由CSDN通过智能技术生成

最近上软件安全与脆弱性分析课程,对freenote小程序(貌似是某一年的CTF题)进行了依次Poc分析。感觉很有意思,在这里对分析过程进行一个总结。

1.程序功能介绍


给定的程序运行界面如上图所示,大体上分为五个模块他们分别为:(1)列出已经存储的记录、(2)添加新的记录、(3)编辑指定的记录、(4)删除已经存储的记录、(5)退出程序。

将note程序加载到ida中,可以得到程序的汇编代码部分,动态调试后可以得到程序初始化后的开始位置:

在ida中进入到不同的功能函数中,利用反汇编可以得到功能函数的伪代码部分分别如下:

(1)列出已经存储的记录功能函数的伪代码:

(2)新建记录功能函数的伪代码:



(3)编辑已经存储记录功能函数的伪代码:

(4)删除已有记录功能函数的伪代码:


(5)退出程序功能函数仅调用库函数puts()实现字符串“bye”的输出;

同时,根据note初始化函数,分析note存储结构我们可以推断其大致如下:

最低0.47元/天 解锁文章
micreven
关注
专栏目录
freenote-setup.exe 安装软件
08-19
FreeNote是一款可以在电脑桌面上自由创建记事标签的软件,非常适合需要随手记下备忘录的用户使用,界面美观,简便易用,可以同时打开并操作多个文档。
33. 汽车软件质量改善
最是书香能致远,腹有诗书气自华
01-28 1073
1.项目时间点压力,71% 2.缺乏安全编程理解/培训,60% 3.偶然编程错误,55% 4.缺乏质量保证和测试,50% 5.不安全开源代码使用,40% 6.产品开发工具的bug,39% 7.缺乏安全规则和流程,26% 8.错误注入,23% 9.权限错误, 19% 10.后端系统错误 ,15% 11.其他,2%
安全架构的设计理论与实践
我从不打没有准备的仗!
10-30 763
安全架构的设计理论与实践
典型软件架构的脆弱性分析
最新发布
zhangyihu321的专栏
08-23 438
架构
系统架构设计师-第18章-安全架构设计理论与实践-软考学习笔记
zrc_xiaoguo的博客
10-29 717
信息的可用性、元略性、机密性、可控性和不可抵赖性等安全保障显得尤为重要,而满足这些诉求,离不开好的架构设计.三道防线:安全架构、安全技术体系架构和审计架构可用性(Availability )是指要防止系统的数据和资源丢失;完整性(lntegrity )是指要防止系统的数据和资源在未经授权情况下被修改;机密性( Confì.dentiality )是指要防止系统的数据和资源在未授权的情况下被披露。1.OSI 概述。
软件腐化的七个特征之僵化性和脆弱性(设计模式原则的反面) (《敏捷软件开发》读书总结第一篇)
weixin_43645811的博客
09-02 1112
软件腐化的特征,僵化性和脆弱性,设计模式,敏捷软件开发
Freenote instant online notes and files-开源
04-24
开源特性鼓励社区参与,不断推动软件的改进和完善,同时也提供了高度的透明度和安全性。用户可以根据自己的需求进行定制化开发,或者参与项目的贡献,共同打造更好的产品。 4. **www.freenote.co.uk**: 用户可以...
freenote-setup.zip
09-24
freenote-setup.zip——一款便捷的小工具安装包详解》 在我们的日常工作中,经常会遇到各种各样的小工具,它们虽然体积小巧,但功能强大,能够帮助我们提高工作效率,解决特定问题。今天我们要讨论的是一款名为...
桌面小便签FreeNote
05-05
多页编辑器,可以同时打开并操作多个文档。鼠标拖动操作,加快编辑速度。支持打印及打印机设置。自定义编辑区属性,软件完全自由风格化。本软件完全免费,可以随意分发使用,完全取代 Windows 自带的 Notepad 工具
FreeNote桌面书签
05-09
FreeNote,桌面书签,很小的工具,非常简单,非常的实用。
Java程序脆弱性静态分析技术
01-26
Java程序脆弱性静态分析技术
软件安全性浅析[6]
03-23
软件安全性浅析[6]软件测试源程序的结构检查和流图分析一般是测试人员代码审查时的重要工作,对于查出前期的软件错误非常有效,现在很多开发单位都采用自动化测试,取代了冗长的代码审查会议,提升了测试的效率和准确度。比较著名的工具有英国PRQA公  软件安全性浅析[6]  软件测试  源程序的结构检查和流图分析一般是测试人员代码审查时的重要工作,对于查出前期的软件错误非常有效,现在很多开发单位都采用自动化测试,取代了冗长的代码审查会议,提升了测试的效率和准确度。比较著名的工具有英国PRQA公司的产品,它对检查一些代码逻辑错误、无法执行到的代码段和违反通用编程规范的行为非常有效。  功能测试:  功能测
信息安全风险评估-脆弱性识别-服务器脆弱性表格
02-17
服务器脆弱性表格,依据GBT21028-2007编制。
计算机系统的稳定性与脆弱性评估分析
07-06
现在开发者想问题不是很全面,在设计系统、开发系统以及管理系统等方面思想结构就会出现漏洞。这些漏洞往往就会被人用来做绕行安全措施的缺点俗称"计算机系统脆弱性",计算机系统的稳定性会受到影响,这些漏洞也会成为病毒、黑客所攻击的对象。计算机系统的稳定性和脆弱性会影响到系统正常的工作,所以良好的系统稳定性是保证系统工作的基础。
信息系统脆弱性评估研究
08-31
关于信息化系统的脆弱性评估研究,论文全,描述清晰。
软件漏洞分析简述
热门推荐
fufu_good的博客
02-04 8万+
软件漏洞 1.1漏洞的定义 漏洞,也叫脆弱性(英语:Vulnerability),是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。 漏洞在各时间阶段的名称 根据是否公开分为:未公开漏洞、已公开漏洞 根据漏洞是否发现分为:未知漏洞、已知漏洞 根据补丁和利用价值是否发布分为:0day漏洞、1day漏洞、历史漏洞 图1 漏洞在各时间阶段的名称 漏洞的特...
软件漏洞分析入门
whatday的专栏
09-23 1万+
1 引子 To be the apostrophe which changed “Impossible” into “I’m possible” —— failwest 凉风有讯,秋月无边。 您是否梦想过能够像电影上演的那样黑进任意一台机器远程操控?您的梦想是否曾经被书店里边满架子的反黑,防毒,擒木马的扫盲书强暴的体无完肤? 从今天开始,准备陆续发一系列关于软件漏洞方面基础知识的帖子,包括软件漏洞...
Freenote 前后端分离基于SpringBoot、Vue、Antd
Go_ahead_forever的博客
08-26 172
前后端分离### 前端 - vue3 [官网](https://cn.vuejs.org/) - vite打包 [vite官网](https://vitejs.cn/vite3-cn/guide/) - ant design vue [antdv组件官网](https://www.antdv.com/components/overview) - axios [Axios官网](https://www.axios-http.cn/docs/intro) - vueRouter [Vue-Router官网]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值