C/C++安全编码-字符串
1 字符串
1.1 字符串基础
字符串提供命令行参数、环境变量、控制台输入、文本文件及网络连
接,提供外部输入方法来影响程序的行为和输出,这也是程序容易出错的地方。字符串是一个概念,并不是C/C++内置类型,标准C语言库支持类型为char的字符串和类型为wchar_t的宽字符串。
字符串由一个以第一个空(null)字符作为结束的连续字符序列组成,并
包含此空字符(所以sizeof和strlen会差1)。一个指向字符串的指针实际指向该字符串的起始字符。目标大小,指sizeof(array)大小,注意与元素个数区分。
数组大小。数组带来的问题之一是确定其元素数量,例如下面的例子:
void clear(int array[])
{
for (size_t i = 0; i < sizeof(array) / sizeof(array[0]); ++i)
{
array[i] = 0;
}
}
void dowork()
{
int dis[12];
clear(dis);
/* ... */
}
array是一个参数,所以它的类型是指针。因此,sizeof(array)等于sizeof(int*),在x86 32机中,sizeof(array) / sizeof(array[0])计算结果都是1。
字符串字面值:简而言之就是在双引号中的值,在C中,字符串字面值的类型是一个char数组,但在C++中,它是一个const char数组。所以在C中可以修改字面值,但是程序如果试图去修改,该行为是未定义的。不要试图修改字符串字面值,编译器有时会把多个相同的字符串字面值存储在相同位置,例如只读存储器(ROM)中,看下面例子:
const char *s1 = "abc";
const char *s2 = "abc";
char *s3 = "abc";
char *s4 = "abc";
char s5[] = "abc";
char s6[] = "abc";
比较地址会发现s1,s2,s3,s4相同,用这4个指针去改变字符串字面值是会出问题的。s5,s6值不同
字符数组初始化:不要指定一个用字符串字面值初始化的字符数组的界限
const char s[3] = "abc"; //不安全写法,少一个'\0'
const char s[] = "abc"; //推荐初始化方式
1.2 C++中的字符串
C++标准类模板std::basic_string。简单来说就是string(basic_string<char>)
和wstring(basic_string<wchar_t>),basic_string的类的模版特化更不容易出现错误和安全漏洞,需要强调的是大多数C++字符串对象被视为不可分割的整体(通常按值传递和引用传递),内部字符串不一定是以空字符结束(大多数实现是以空字符结尾),C的库函数都接受以空字符结尾的字符序列指针。
1.3 字符类型
char 是 signed char 还是 unsigned char 可由编译器的配置项设定
当char有符号时,由unsigned char[]转换为const char *
当char无符号时,由singned char[] 转换为const char *
如果不强制转换会有警告,建议使用普通的char
1.4 字符串的长度
混淆概念容易在C和C++中导致严重的错误,
wchar_t wide_str1[] = L"0123456789";
wchar_t *wide_str2 = (wchar_t*)malloc(strlen(wide_str1) + 1);
if(wide_str2 == NULL)
{
/*处理错误*/
}
free(wide_str2);
wide_str2 = NULL;
对一个以空字符结尾的字节字符串,strlen()统计终止空字节前面的字符数量。然而,宽字符可以包含空字节,所以计算结果会出问题。
使用wcslen可以计算宽字符串的大小
wchar_t wide_str1[] = L"0123456789";
wchar_t *wide_str2 = (wchar_t*)malloc(wcslen(wide_str1) + 1);
if(wide_str2 == NULL)
{
/*处理错误*/
}
free(wide_str2);
wide_str2 = NULL;
注意此长度没有乘sizeof(wchar_t),所以还是不对,下面值最终正确写法:
wchar_t wide_str1[] = L"0123456789";
wchar_t *wide_str2 = (wchar_t*)malloc((wcslen(wide_str1)+1)*sizeof(wchar_t));
if(wide_str2 == NULL)
{
/*处理错误*/
}
free(wide_str2);
wide_str2 = NULL;
2 常见的字符串操作错误
2.1 无界字符串复制
void get_y_or_n()
{
char response[8];
puts("Continue? [y] n:");
gets(response);
if(response[0] == 'n')
exit(0);
return;
}
其实gets()函数在C99中以废弃并在C11中淘汰。它没有提供方法指定读入的字符数的限制。这种限制在此函数的如下一致实现中是显而易见的:
char *gets(char *dest)
{
int c = getchar();
char *p = dest;
while(c != EOF && c != '\n')
{
*p++ = c;
c = getchar();
}
*p = '\0';
return dest;
}
如果输入超出8个字符,那么会导致未定义的行为。不要从一个无界源复制数据到定长数组中,禁止这种方法。
2.1.1 复制和连接字符串
例如strcpy(), strcat(), sprintf(), 容易执行无界操作。例如:
int main(int argc, char *argv[])
{
/*argc参数个数,argv参数数组*/
}
当argc大于0,按照惯例,argv[0]指向的字符串是程序名。若argc > 1,则argv[0]~argv[argc-1]引用的就是实际程序参数。
当分配的空间不足以复制一个程序的输入,就会产生漏洞。攻击者可以控制argv[0]的内容
int main(int argc, char *argv[])
{
/*argc参数个数,argv参数数组*/
char prog_name[128];
strcpy(prog_name, argv[0]);
/* ... */
}
输入一个大于128个字节的字符,栈溢出,即缓冲区溢出漏洞。
标准的写法应该是:
int main(int argc, char *argv[])
{
/* 不要假设argv[0]不许为空 */
const char *const name = argv[0]? argv[0] : "";
char *prog_name = (char*)malloc(strlen(name)+1);
if(prog_name != NULL)
{
strcpy(prog_name, name);
}
else
{
/* 复原 */
}
}
其实还有一种方法可以避免溢出,通过设置域宽可以消除gets()的缺陷
char buf[12];
std::cin::width(12);
std::cin >> buf;
std::cout << buf << std::endl;
2.2 差一错误
简而言之就是从源字符串拷贝内容到目的字符串,刚好最后的'\0'没有
拷贝到目的字符串中,在这之后对目的串调用C语言库的函数可能会出问题,即空字符结尾错误,其余的还有字符串阶截断误差,越界操作等。
2.3 字符串漏洞及其利用
大体上就是缓冲区溢出(详细的可以自己网上查,有很多资料详细介
绍),栈溢出的话,可以把目标代码或者数据覆盖到栈里面,关于栈为什么会溢出,其实是因为在编译后,栈的大小就固定了。这种攻击方式也称注入,这里涉及到汇编以及底层的结构,不做详细解释,不过解决方法也有很多,要么做边界检查,要么动态的分配内存,还有更简单的那就是直接使用std::basic_string。当然使用string也会出问题,例如迭代器失效。
char input[];
string email;
string::iterator loc = email.begin();
//复制到string对象,同时把";" 转换成" "
for (size_t i = 0; i < strlen(input); ++i)
{
if(input[i] != ";")
email.insert(loc++, input[i]);
else
email.insert(loc++, ' ');
}
第一次insert之后,loc就已经失效,后面的insert都将产生未定义行为。正确的写法应该是
char input[];
string email;
string::iterator loc = email.begin();
//复制到string对象,同时把";" 转换成" "
for (size_t i = 0; i < strlen(input); ++i)
{
if(input[i] != ";")
loc = email.insert(loc, input[i]);
else
loc = email.insert(loc, ' ');
++loc;
}
当然在编程的时候引用边界之外的元素会抛出一个异常std::out_of _range。另外std::string.c_str()函数可以返回一个以空字符结尾的字符,const值,所以调用free()或者delete()会出错,需要修改则只能修改副本。
