C语言输入安全10大边界漏洞解析与防御

在CVE漏洞数据库中，输入处理漏洞占比超过23%，其中边界问题是最主要的根源。本文将深入解析C语言输入处理的10种致命陷阱，并提供可落地的安全编码方案。

一、未限定长度的字符串复制

漏洞代码

char buf[64];
gets(buf);  // 致命危险！

漏洞形成机制

1. 栈内存结构：

   | buffer[0-63] | EBP | 返回地址 | 参数... |
   ↑              ↑
   ESP            EBP
   

2. 溢出过程：

   • 输入超过63字符时，\0终止符被覆盖
   • 继续写入会覆盖EBP和返回地址
   • 攻击者精心构造的64-72字节可完全控制返回地址

3. 利用技术：

   # 攻击载荷构造
   payload = (b"\x90"*40 +            # NOP雪橇shellcode +              # 恶意机器码b"A"*(64-40-len(shellcode)) # 填充struct.pack("<I", 0xffffd3a0) # 覆盖返回地址
   )
   

防范原理

fgets()的安全机制：

char* fgets(char* s, int size, FILE* stream) {int c;char* p = s;while (--size > 0 && (c = getc(stream)) != EOF) {*p++ = c;if (c == '\n') break; // 关键：遇到换行终止}*p = '\0'; // 确保终止符return (c == EOF && p == s) ? NULL : s;
}

---

二、strncpy未添加终止符

漏洞代码

char dest[32];
strncpy(dest, src, sizeof(dest));  // 可能无终止符

漏洞形成机制

1. 内存布局示例：

   dest: [d][a][t][a][...][?]   // 无终止符
   后续变量: [v][a][l][u][e]      // 被当作字符串延续
   

2. 信息泄露场景：

   printf("Data: %s", dest); // 打印dest及后续内存
   

   • 输出可能包含密码、密钥等敏感数据

3. 崩溃原理：

   • 无终止符的字符串操作会持续读取
   • 直到遇到随机\0或触发页错误

防范原理

双重保障策略：

// 方案1：预置终止符
dest[sizeof(dest)-1] = '\0'