应用软件安全编程--13禁止使用被污染的数据进行进程控制

最新推荐文章于 2024-05-15 16:42:23 发布
最新推荐文章于 2024-05-15 16:42:23 发布
阅读量133 收藏
点赞数 5
分类专栏: 应用软件安全编程 文章标签: 安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzh305365294/article/details/134371229
版权

直接将污点数据作为动态库加载路径,会为攻击者提供加载恶意库的机会:攻击者可以将篡改后 的,带有恶意功能的库进行加载,使程序在运行过程中执行危险动作,甚至被攻击者控制。

对于禁止使用被污染的数据进行进程控制的情况,示例1给出了不规范用法(C/C++   语言)示例。 示例2给出了规范用法(C/C++   语言)示例。

示例1:

#include<Windows.h>

void f(LPCTSTR IpFileName){

scanf("%s",IpFileName);

LoadLibrary(lpFileName);

 

在如上示例中,函数LoadLibrary()加载库的参数为污点数据。

用明确的固定的数据来进行动态库加载,如果加载动态库的参数,确实需要从外界获取,在这种情 况下,需要注意设计并实现完备的验证机制。

示例2:

# include<Windows.h>

void f(LPCTSTR lpFileName){

scanf("%s",IpFileName);

IpFileName = CheckArgStr(IpFileName);

LoadLibrary(lpFileName);

 

在如上示例中,函数LoadLibrary()加载库的参数经过了校验函数CheckArgStr() 的验证。

奔跑的老人吴
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全面试题整理 - 甲方类(一)
yinjiyufei的博客
12-06 1165
网络安全面试题整理 - 甲方类(一)
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 368
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
第20章 软件开发安全
HeLLo_a119的博客
01-30 1431
软件开发安全
应用软件漏洞利用分布
securitypaper的博客
10-27 645
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
RISC-V 学习篇之特权架构下的中断异常处理
m0_53157173的博客
06-01 3051
RISC-V 学习篇之特权架构下的中断异常处理
Notes Twelfth Day-渗透攻击-红队-命令与控制
qq_34801745的博客
09-28 7469
** Notes Twelfth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-09-28 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好
【GPT-3】第1章 大型语言模型时代
sikh_0529的博客
09-28 7603
您无需从头开始构建模型来解决您的问题,而是使用针对更一般问题进行训练的模型作为起点,并使用特别策划的数据集在您选择的领域对其进行更具体的训练。它的数据集和模型都比用于 GPT-2 的数据大两个数量级:GPT-3 有 1750 亿个参数,并且在混合了五个不同的文本语料库上进行了训练,这比用于训练 GPT 的数据集大得多-2。该实验的结果是一个具有新的非凡能力的模型,以 GPT-3 的形式出现。对于我们的示例,我们会说编码器是以法语为母语的人,而解码器是以英语为母语的人。GPT 只是变压器的解码器部分。
Python黑帽子--黑客与渗透测试编程之道
热门推荐
giantbranch的专栏
01-30 7万+
为了方便查找,请看目录(手机端就没有目录哦)→→→→→→→→→→→→→→→ 注:本文篇幅较大,请耐心等待(power by 《Python黑帽子:黑客与渗透测试编程之道 》)   欢迎光顾我的新博客:https://www.giantbranch.cn   终于学完了,也敲完代码了,其中有好几个都没成功实践出作者的预期结果,知道我哪里错的,欢迎指点。(有问题的同学可以看看评论,或许有其他...
渗透测试-干货 | 80篇+网络安全面试经验帖(面试篇)
lza20001103的博客
07-27 2592
渗透测试-干货 | 80篇+网络安全面试经验帖(面试篇)
软件安全实现-安全编程技术
11-24
《软件安全实现:安全编程技术》是一本图书,全书共分为16章,针对安全编程技术进行讲解,主要涵盖了基本安全编程、应用安全编程数据保护编程以及其他内容共四大部分:第一部分包含内存安全、线程/进程安全、异常/...
计算机软件-编程源码-构建安全的ASP.NET应用.zip
05-25
计算机软件-编程源码-构建安全的ASP.NET应用.zip
Linux进程控制编程-父子进程数据段的访问实例.pdf
07-11
Linux进程控制编程-父子进程数据段的访问实例.pdf 学习资料 复习资料 教学资源
多线程编程-使用同步对象编程
03-02
read,single-writelock)4、信号量(semophore)5、进程间同步(processsynchronization)6、同步原语的比较(compareprimitive)同步对象是内存中的变量,你可以象访问一般的数据那样来访问它。不同进程内的线程可以通过...
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
爱笑的源码博客
05-14 976
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 366
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全编程语言和框架,减少漏洞的产生。
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 968
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token的安全性。
智慧园区EasyCVR视频智能管理方案:构建高效安全园区新视界
最新发布
TSINGSEE青犀视频官方技术博客
05-15 471
睡岗离岗检测:检测消控室值班员值岗情况,当发生脱岗、睡岗等问题时,即时报警,避免发生事件无人响应情形。
信息安全技术 应用软件安全编程指南pdf
07-16
在《应用软件安全编程指南》中,开发人员可以学习到如何正确使用各种安全机制和编程技术,如输入验证、身份验证、授权、加密、错误处理等。指南还介绍了一些常见的开发语言和框架对安全的支持和限制,以帮助开发人员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑的老人吴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值