这里写自定义目录标题
C字符串函数内存安全
C语言标准库早期实现的字符串函数都不带长度判断的,
例如 strcpy
, strcat
, sprintf
, 另外还有输入函数,如: gets
也类似。
以strcpy为例 ,其标准函数原型如下:
char *strcpy(char *dest, const char *src);
这种函数本身并没有任何保护措施,调用者至少得确保:
- dest内存由调用者分配,并且分配的空间足够容纳src
- src以
\0
结尾。
更多的,比如: dest和src的内存区域不能有重叠,等等。
如果调用参数不满足上面条件,则会发生缓冲区溢出,产生各种异常结果。
缓冲区溢出漏洞是攻击C应用软件的常见方法,比如,如下代码:
void func(char *s) {
char buffer[100];
strcpy(buffer, s);
}
通过输入超长的字符串s,可以修改buffer数组之后的内存。
如果s来自用户输入的话,用户可以精心构造输入字符串,填入buffer之后。 一般C内存布局中,buffer之后是C函数调用栈,通过buffer溢出可以覆盖内存中的函数栈地址,在func函数返回后就会跳转到其他地方去执行,以此绕过鉴权逻辑或做其他事情。
改进版字符串函数
大牛们为了解决strcpy
这种纯无保护裸奔的情况,稍微加了一丢丢遮羞布,
这个遮羞布就是第三个参数n。
这种函数有很多,例如 strcat=>strncat
, sprintf => snprintf
,
char *strncpy(char *dest, const char *src, size_t n);
这个n就是从src最多复制n个字节到dest,相当于复制数量有个上限 。如果src字符串长度小于n,则n不会实际起效果,如果src长度大于 n则,则src只会被复制过去一部分。这样在用户输入超长字符串的时候,会被截断放到buffer中,确保buffer不会有溢出。
void func(s) {
char buffer[100];
strncpy(buffer, s, sizeof(buffer));
}
尾巴有个坑
strncpy也不是完美,有个巨坑,从逻辑意义上来讲,字符串操作函数得到的还是字符串。
strcpy 类就是字符串赋值: String dest = otherString
而 strcat函数就是字符串拼接: String dest += otherString
。
void func(s) {
char buffer[100];
strncpy(buffer, s, sizeof(buffer));
}
当输入字符串s恰好等于100的时候, strncpy不会给尾巴填0。 这个时候 buffer就不是C语言意义上的字符串。所以好多地方调用的时候会刻意在buffer上给尾巴留一个空位
strncpy(buffer, s, sizeof(buffer) - 1);
}
strncat函数也有类似的坑,但原因不同,
void func(char *s) {
char buffer[100];
buffer[0] = '\0';
strncat(buffer, s, sizeof(buffer));
}
strncat会始终末尾0,在s字符串超长的情况下,其实buffer已经溢出了,
所以也同样需要留一个空位:
strncat(buffer, s, sizeof(buffer) - 1);
总结
C本身是内存不安全语言,即使像字符串赋值,字符串拼接也有许多坑,这个坑是内存管理的复杂性带来的。
strncpy类函数只是提供了一个工具函数,