整数安全
计算机中的整数
计算机中的整数分为有符号整数和无符号整数两种,通常保存在一个固定长度的内存空间内,它能存储的最大值和最小值都是固定的。
整数安全漏洞
整数溢出
如果一个整数用来计算一些敏感数值,如缓冲区大小或数值索引,就会产生潜在的危险。通常情况下,整数溢出并没有改变额外的内存,不会直接导致任何代码执行,但是它会导致栈溢出和堆溢出,而后两者都会导致任何代码执行。由于整数溢出发生之后,很难被立即察觉,比较难用一个有效的方法去判断是否出现或者可能出现整数溢出。
关于整数的异常情况主要有三种:
- 溢出:只有有符号数才会发生溢出。有符号数的最高位表示符号,在两正或两负相加时,有可能改变符号位的值,产生溢出。溢出标志OF可检测有符号数的溢出;
- 回绕:无符号数0-1时会变成最大的数,如1字节的无符号数会变成255,而255+1会变成最小数0。进位标志CF可检测无符号数的回绕
- 截断:将一个较大宽度的数存入一个宽度小的操作数中,高位发生截断。
整数转换
整数转换是一种用于表示赋值、类型强制转换或者计算的结果值得底层数据类型的改变,这种转换可能是显式的(通过类型申明转换)也可能是隐式的(通过算数运算转换)。如果具有某个宽度的类型向一种具有更大的类型转换,通常会保留数学值,但如果反过来,就会导致高位丢失,例如把一个unsigned char加到一个signed char上。具体看来就是下面两种错误:第一,损失值,当转换为一种更小宽度的类型时会损失值;第二,损失符号,从有符号类型转换为无符号类型时会损失符号。
其中,整型提升是指当计算表达式中包含了不同宽度的操作数时,较小宽度的操作数会被提升到和较大操作数一样的宽度,然后进行计算。
漏洞多发函数
我们说过整数溢出要配合其他类型的缺陷才能有用,下面的两个函数都有一个size_t类型的参数(size_t是无符号整数类型的sizeof()结果),常常被无用而产生整数溢出,接着就可能产生缓冲区溢出漏洞
#include <string.h>
void *memcpy(void *dest,const void *src,size_t n);
memcpy函数将src所指向的字符串中以src地址开始的前n个字节赋值到dest所指的数组中,并返回dest
#include <string.h>
char *strncpy(char *dest,const char *src,size_t n)
strncpy()函数从源src所指的内存地址的起始位置开始赋值n个字节到目标dest所指的内存地址的起始位置中。
两个函数中都有一个类型为size_t的参数,它是无符号类型的sizeof运算符的结果。