信息安全工程師案例分析當(dāng)天每日一練試題地址：www.jycxcx.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jycxcx.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2021/2/13）在線測(cè)試：www.jycxcx.com/exam/ExamDayAL.aspx?t1=6&day=2021/2/13

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/2/13）

閱讀下列說(shuō)明和代碼，回答問(wèn)題1和問(wèn)題2，將解答卸載答題紙的對(duì)應(yīng)欄內(nèi)。
【說(shuō)明】
某一本地口令驗(yàn)證函數(shù)（C語(yǔ)言環(huán)境，X86_32指令集）包含如下關(guān)鍵代碼：某用戶(hù)的口令保存在字符數(shù)組origPassword中，用戶(hù)輸入的口令保存在字符數(shù)組userPassword中，如果兩個(gè)數(shù)組中的內(nèi)容相同則允許進(jìn)入系統(tǒng)。

【問(wèn)題1】（4分）
用戶(hù)在調(diào)用gets()函數(shù)時(shí)輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過(guò)該口令驗(yàn)證函數(shù)的限制？
【問(wèn)題2】（4分）
上述代碼存在什么類(lèi)型的安全隱患？請(qǐng)給出消除該安全隱患的思路。

信管網(wǎng)5430486@qq.com：
1、輸入超過(guò)12個(gè)字符的密碼 2、緩沖區(qū)溢出 系統(tǒng)管理：關(guān)閉不必要的特權(quán)程序，及時(shí)更新系統(tǒng)補(bǔ)丁 軟件開(kāi)發(fā)：編寫(xiě)安全代碼、緩沖區(qū)不可執(zhí)行，改寫(xiě)c語(yǔ)音函數(shù)庫(kù)，數(shù)據(jù)指針完整性檢查，堆棧數(shù)據(jù)往高地址方向增長(zhǎng)

信管網(wǎng)cnitpm439753710：
【1】用戶(hù)輸入長(zhǎng)度為12，前6位與后6位相同的字符串，可以在不知道原始口令“secret”的情況下繞過(guò)該口令驗(yàn)證函數(shù)的限制。 【2】上述代碼存在緩沖區(qū)溢出的安全隱患；消除該安全隱患的思路：1、對(duì)數(shù)組邊界進(jìn)行檢查，確保目標(biāo)緩沖區(qū)中數(shù)據(jù)不越界有效。

信管網(wǎng)yangdada：
1.應(yīng)該輸入一個(gè)24位的字符串，且前12位與后12位要完全一樣。這樣的話可以導(dǎo)致后12的值賦值給origpassword[12]這個(gè)數(shù)組，前12的數(shù)據(jù)可以賦值給userpassword[12]這個(gè)數(shù)組，這樣的話兩者的值就相等了，if語(yǔ)句的條件不會(huì)符合。 2.存在緩沖區(qū)溢出漏洞，解決的辦法是對(duì)用戶(hù)的輸入值進(jìn)行檢查，限制用戶(hù)的輸入長(zhǎng)度，防止發(fā)生緩沖區(qū)溢出這樣的情況。