Security Testing - Buffer Overflows

当一个方案试图在一个临时数据储存区(布图)储存更多的数据时,会产生缓冲超支。 由于设立了缓冲地带,以控制一定数量的数据,因此额外信息可能过度流入邻近的缓冲地带,从而腐蚀了它们持有的有效数据。

Example

这里是缓冲外流的一个典型例子。 它显示了第一个依靠外部数据控制其行为的设想所引发的简单的缓冲外流。 没有任何办法限制用户输入的数据数量,方案的行为取决于用户的特性。

   ...
   char bufr[BUFSIZE]; 
   gets(bufr);
   ...

Hands ON

我们需要标出名称和房间号码,以便上网。 这里的情况是假想。

我们还将使布鲁普 Suite的“隐藏形式田”能够做到如下:

现在,我们在名称和会议室编号领域提出意见。 我们还在房间数量领域尝试并注入大量人员。

隐藏的田地如下所示。 我们点击接受术语。

这次袭击是成功的,因为缓冲溢流,它开始阅读邻近的记忆点,并向用户展示如下。

现在让我们利用所展示的数据。 在伐木之后,展示了以下信息:

Preventive Mechanisms

Code Reviewing

Developer training

Compiler tools

Developing Safe functions

Periodical Scanning