信息安全工程師案例分析當天每日一練試題地址:www.pokkc.com/exam/ExamDayAL.aspx?t1=6
往期信息安全工程師每日一練試題匯總:www.pokkc.com/class27-6-1.aspx
信息安全工程師案例分析每日一練試題(2021/2/13)在線測試:www.pokkc.com/exam/ExamDayAL.aspx?t1=6&day=2021/2/13
點擊查看:更多信息安全工程師習題與指導
信息安全工程師案例分析每日一練試題內容(2021/2/13)
閱讀下列說明和代碼,回答問題1和問題2,將解答卸載答題紙的對應欄內。
【說明】
某一本地口令驗證函數(shù)(C語言環(huán)境,X86_32指令集)包含如下關鍵代碼:某用戶的口令保存在字符數(shù)組origPassword中,用戶輸入的口令保存在字符數(shù)組userPassword中,如果兩個數(shù)組中的內容相同則允許進入系統(tǒng)。
【問題1】(4分)
用戶在調用gets()函數(shù)時輸入什么樣式的字符串,可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數(shù)的限制?
【問題2】(4分)
上述代碼存在什么類型的安全隱患?請給出消除該安全隱患的思路。
信管網(wǎng)考友試題答案分享:
信管網(wǎng)5430486@qq.com:
1、輸入超過12個字符的密碼
2、緩沖區(qū)溢出
系統(tǒng)管理:關閉不必要的特權程序,及時更新系統(tǒng)補丁
軟件開發(fā):編寫安全代碼、緩沖區(qū)不可執(zhí)行,改寫c語音函數(shù)庫,數(shù)據(jù)指針完整性檢查,堆棧數(shù)據(jù)往高地址方向增長
信管網(wǎng)cnitpm439753710:
【1】用戶輸入長度為12,前6位與后6位相同的字符串,可以在不知道原始口令“secret”的情況下繞過該口令驗證函數(shù)的限制。
【2】上述代碼存在緩沖區(qū)溢出的安全隱患;消除該安全隱患的思路:1、對數(shù)組邊界進行檢查,確保目標緩沖區(qū)中數(shù)據(jù)不越界有效。
信管網(wǎng)yangdada:
1.應該輸入一個24位的字符串,且前12位與后12位要完全一樣。這樣的話可以導致后12的值賦值給origpassword[12]這個數(shù)組,前12的數(shù)據(jù)可以賦值給userpassword[12]這個數(shù)組,這樣的話兩者的值就相等了,if語句的條件不會符合。
2.存在緩沖區(qū)溢出漏洞,解決的辦法是對用戶的輸入值進行檢查,限制用戶的輸入長度,防止發(fā)生緩沖區(qū)溢出這樣的情況。
溫馨提示:因考試政策、內容不斷變化與調整,信管網(wǎng)網(wǎng)站提供的以上信息僅供參考,如有異議,請以權威部門公布的內容為準!
信管網(wǎng)致力于為廣大信管從業(yè)人員、愛好者、大學生提供專業(yè)、高質量的課程和服務,解決其考試證書、技能提升和就業(yè)的需求。
信管網(wǎng)軟考課程由信管網(wǎng)依托10年專業(yè)軟考教研傾力打造,官方教材參編作者和資深講師坐鎮(zhèn),通過深研歷年考試出題規(guī)律與考試大綱,深挖核心知識與高頻考點,為學員考試保駕護航。面授、直播&錄播,多種班型靈活學習,滿足不同學員考證需求,降低課程學習難度,使學習效果事半功倍。
發(fā)表評論 查看完整評論 | |