整数溢出
如果一个整数用来计算一些敏感数值,如缓冲区大小或数值索引,就会产生潜在的危险。通常情况下,整数溢出并没有改写额外的内存,不会直接导致任意代码执行,但是它会导致栈溢出和堆溢出,而后两者都会导致任意代码执行。由于整数溢出发生之后,很难立即被察觉,比较难用一个有效的方法去判断是否出现或者可能出现整数溢出。
关于整数的异常情况主要有三种:
(1) 溢出,只有有符号数才会发生溢出。有符号数的最高位表示符号,在两正或两负相加时,有可能改变符号位的值,产生溢出。溢出标指OF可检测有符号数的溢出;
(2) 回绕,无符号数0-1时会变成最大的数,如1字节的无符号数会变成255,而255+1会变成最小数0.进位标志CF可检测无符号数的回绕;
(3) 截断,将一个较大宽度的数存入一个宽度小的操作数中,高位发生截断
漏洞多发函数
整数溢出要配合其他类型的缺陷才能有用,下面的两个函数都有一个size_t类型的参数(size_t是无符号整数类型的sizeof()的结果),常常被误用而产生整数溢出,接着就可能导致缓冲区溢出漏洞。
#include<string.h>
void *memcpy(void *dest,const void *src,size_t n);memcpy()函数将src所指向的字符串中以src地址开始的前n个字节复制到dest所指的数组中,并返回dest。
#include<string.h>
char *strncpy(char *dest, const char *src,size_t n);strncpy()函数从源src所指的内存地址的起始位置开始复制n个字节到目标dest所指的内存地址的起始位置中。
两个函数中都有一个类型为size_t的参数,它是无符号整型的sizeof运算符的结果。
typedef unsigned int size_t; h
