|
指針釋放沒處理好���,容易引發(fā)高風(fēng)險漏洞:內(nèi)存破壞漏洞��。 在編程中對指針進(jìn)行釋放后����,需要將該指針設(shè)置為NULL���,以防止后續(xù)free指針的誤用�����,從而導(dǎo)致UAF (Use After Free)等其他內(nèi)存破壞問題��。尤其在結(jié)構(gòu)體����、類里面存儲的原始指針���。 錯誤釋放指針范例 
正確釋放指針范例 
針對指針釋放建議的解決方案:建議使用string�����、vector�����、智能指針等代替原始內(nèi)存管理機(jī)制���,這樣可以大量減少這類型的錯誤。 這類問題沒處理好��,容易引發(fā)低風(fēng)險的拒絕服務(wù)漏洞風(fēng)險�。 下面是檢查空指針范例 
檢查指針大小沒處理好,它會引發(fā)中風(fēng)險邏輯漏洞的風(fēng)險 下面是檢查指針大小范例 
智能指針如果沒應(yīng)用好�����,會引發(fā)高風(fēng)險漏洞:內(nèi)存破壞漏洞 在編程中使用智能指針時候,必須防止智能指針和原始指針混用�����,否則可能會導(dǎo)致對象生命周期問題���,例如UAF安全風(fēng)險�。 錯誤的使用智能指針 
正確的使用智能指針
類型轉(zhuǎn)換處理不好會引發(fā)高風(fēng)險的漏洞:內(nèi)存破壞漏洞 在編程中對指針��、對象或變量進(jìn)行操作時�����,需要能夠正確判斷所操作對象的原始類型����。如果使用了與原始類型不兼容的類型進(jìn)行訪問操作,那么代碼就會存在安全的隱患���。 錯誤類型轉(zhuǎn)換范例
正確使用類型轉(zhuǎn)換范例
使用無長度限制的的函數(shù)�,它會引發(fā)中風(fēng)險漏洞和高風(fēng)險漏洞:信息泄露漏洞和緩沖區(qū)溢出漏洞�。 不能直接使用無長度限制的字符串拷貝、輸入函數(shù)�����、例如:strcpy、sprintf�、wcscpy�����、mbscpy等函數(shù)��,這些函數(shù)的特征是:通過輸入一長串字符串���,而不限制長度�。如果環(huán)境允許��,應(yīng)當(dāng)使用_s安全版本替代�����,或者使用n版本函數(shù)(如:snprintf��,vsnprintf)���。 若使用形如sscanf之類的函數(shù)時����,在處理字符串輸入時應(yīng)該通過%10s這樣的方式來嚴(yán)格限制字符串長度,同時確保字符串末尾有\(zhòng)0���。如果環(huán)境允許應(yīng)該使用_s安全版本���。 在使用n系列拷貝函數(shù)時,要確保正確計算緩沖區(qū)長度�,同時,如果你不確定是否地面在各個編譯器下都能確保末尾有0時候�,建議增加1字節(jié)輸入緩沖區(qū),并將其置為\0����,以確保輸出的字符串結(jié)尾一定有\(zhòng)0。 建議使用方案:在C++中�,建議用string、vector等更高封裝層的基礎(chǔ)組件代替原始指針和動態(tài)數(shù)組����,可以有效提高代碼的可讀性和安全性。 調(diào)用啟動進(jìn)程類的系統(tǒng)函數(shù)的安全做法 沒調(diào)用好啟動進(jìn)程類的系統(tǒng)函數(shù)�,它會引發(fā)兩大高風(fēng)險漏洞:代碼執(zhí)行漏洞和權(quán)限提升漏洞。 在調(diào)用如 system、WinExec�、CreateProcess、SheellExecute等啟動進(jìn)程類的函數(shù)�,需要嚴(yán)格檢查函數(shù)的參數(shù)。 當(dāng)啟動時從用戶輸入����、環(huán)境變量讀取組合命令行時,還需要注意是否可能存在命令注入風(fēng)險���。最好進(jìn)行檢查用戶輸入是否含有非法數(shù)據(jù)。 下面可以借鑒的范例
盡量不要使用_alloca和可變長度數(shù)組 使用_alloca和可變長度數(shù)組��,它可能會引發(fā)低風(fēng)險和高風(fēng)險漏洞:拒絕服務(wù)漏洞和內(nèi)存破壞漏洞��。 _alloca和可變長度數(shù)組使用的內(nèi)存量在編譯期間是未知的���,尤其是在循環(huán)中使用時�,根據(jù)編譯器的實(shí)現(xiàn)不同�,可能會導(dǎo)致:1.棧溢出;2.缺少棧內(nèi)存測試的編譯器實(shí)現(xiàn)可能導(dǎo)致申請到非棧內(nèi)存�,并導(dǎo)致內(nèi)存損壞。 對于C++�����,可變長度數(shù)組也是非標(biāo)準(zhǔn)擴(kuò)展,在代碼規(guī)范中禁止使用���。
調(diào)用printf系列函數(shù)���,參數(shù)必須對應(yīng) 調(diào)用printf系列函數(shù)沒處理好會引發(fā)中風(fēng)險漏洞:信息泄露漏洞 調(diào)用printf系列函數(shù),如sprintf���,snprintf��,vprintf等必須對應(yīng)控制符號和參數(shù)����。
不要把用戶可修改字符串作為printf系列函數(shù)的“format”參數(shù) 這個沒處理好���,它會引發(fā)低風(fēng)險�����、中風(fēng)險和兩大高風(fēng)險漏洞:拒絕服務(wù)����、信息泄露、內(nèi)存破壞和代碼執(zhí)行漏洞��。 如果用戶可以控制字符串���,則通過%n����、%p等內(nèi)容�����,最壞情況洗可以直接執(zhí)行任意惡意代碼���。
對數(shù)組delete時需要使用delete[] 這個沒處理好,它會引發(fā)低風(fēng)險��、中風(fēng)險和高風(fēng)險漏洞:內(nèi)存泄漏�、邏輯漏洞、內(nèi)存破壞漏洞 delete []操作符用于刪除數(shù)組���。delete操作符用于刪除非數(shù)組對象�。它們分別調(diào)用operator delete[]和operator delete�����。 建議的解決方案在C++代碼中,使用string����、vector、智能指針(比如std::unique_ptr)等可以消除絕大多數(shù) delete[] 的使用場景�,并且代碼更清晰。
編程中switch沒應(yīng)用好��,它會引發(fā)兩大中風(fēng)險漏洞:邏輯漏洞����、內(nèi)存泄漏漏洞。 switch中應(yīng)該有default����,以處理各種預(yù)期外的情況。這可以確保switch接受用戶輸入�,或者后期在其他開發(fā)者修改函數(shù)后確保switch仍可以覆蓋到所有情況,并確保邏輯正常運(yùn)行����。
提供過多的信息����,這會引發(fā)中風(fēng)險的信息泄露漏洞�����。 包含過多信息的Debug消息不應(yīng)當(dāng)被用戶獲取到����。Debug信息可能會泄露一些值����,例如內(nèi)存數(shù)據(jù)、內(nèi)存地址等內(nèi)容�,這些內(nèi)容可以幫助攻擊者在初步控制程序后,更容易地攻擊程序���。 這個情況�����,會引發(fā)高風(fēng)險的內(nèi)存破壞漏洞。 函數(shù)不可以返回棧上的變量的地址��,它的內(nèi)容再函數(shù)返回后就會失效�����,可以用堆類傳遞簡單類型變量。 在棧上聲明的變量使用之前確認(rèn)是否已經(jīng)初始化了��。最好是在聲明變量的時候��,就直接初始化變量值��。 建議方案:強(qiáng)烈建議返回 string�����、vector 等類型���,會讓代碼更加簡單和安全����。 錯誤的范例
正確的用法范例
函數(shù)的每個分支都應(yīng)該有返回值 函數(shù)中的分支沒處理好���,它會引發(fā)兩大中風(fēng)險漏洞:信息泄露���,邏輯漏洞。 函數(shù)的每個分支都應(yīng)該有返回值���,否則如果函數(shù)走到無返回值的分支�,其結(jié)果是未知的。 錯誤用法的范例
正確用法的范例
線程中的變量沒處理好����,它會引發(fā)兩大中風(fēng)險漏洞:信息泄露,邏輯漏洞���。 當(dāng)一個變量可能被多個線程使用時�,應(yīng)當(dāng)使用原子操作或加鎖操作�。 建議解決方案: 對于C代碼,C11 后推薦使用 atomic 標(biāo)準(zhǔn)庫��。 對于C++代碼�����,C++11后��,推薦使用 std::atomic�����。 錯誤用法范例
正確用法范例
存儲明文信息����,它會引發(fā)高風(fēng)險漏洞風(fēng)險:敏感信息泄露漏洞���。 用戶的敏感信息應(yīng)該使用加密算法進(jìn)行做處理��,并做到傳輸過程中加密����,存儲過程中加密����,存儲狀態(tài)下加密。在程序運(yùn)行內(nèi)存中的用戶敏感信息應(yīng)該完全抹除����。 使用rand()類函數(shù)應(yīng)正確初始化 編程中rand函數(shù)沒有正確初始化,它會引發(fā)邏輯漏洞的高風(fēng)險漏洞�����。 在編程中�,rand類函數(shù)的隨機(jī)性并不高��。而且在使用前需要使用srand()來初始化���。未初始化的隨機(jī)數(shù)可能導(dǎo)致某些內(nèi)容可預(yù)測。
編程中���,如果文件路徑?jīng)]處理好��,它會引發(fā)高風(fēng)險的邏輯漏洞�����。 在進(jìn)行文件操作時�����,需要判斷外部傳入的文件名是否合法�,如果文件名中包含 ../ 等特殊字符���,則會造成路徑穿越���,導(dǎo)致任意文件的讀寫。
編程中相對路徑?jīng)]處理好會引發(fā)邏輯漏洞風(fēng)險。 在編程中�����,使用相對路徑可能導(dǎo)致一些安全風(fēng)險����,例如DLL�、EXE劫持等問題。 針對DLL劫持編碼安全的建議: 調(diào)用LoadLibrary���,LoadLibraryEx��,CreateProcess����,ShellExecute等進(jìn)行模塊加載的函數(shù)時�����,指明模塊的完整(全)路徑����,禁止使用相對路徑,這樣就可避免從其它目錄加載DLL。 在應(yīng)用程序的開頭調(diào)用SetDllDirectory(TEXT('')); 從而將當(dāng)前目錄從DLL的搜索列表中刪除��。 結(jié)合SetDefaultDllDirectories���,AddDllDirectory��,RemoveDllDirectory這幾個API配合使用���,可以有效的規(guī)避DLL劫持問題。
編程中��,文件權(quán)限沒處理好�,它會引發(fā)中風(fēng)險的邏輯漏洞風(fēng)險。 在創(chuàng)建文件時�����,需要根據(jù)文件的敏感級別設(shè)置不同的訪問權(quán)限���,以防止敏感數(shù)據(jù)被其他惡意程序讀取或?qū)懭搿?/p>
在編程中��,數(shù)據(jù)操作時候沒處理好����,它會引發(fā)高風(fēng)險的漏洞:內(nèi)存破壞。 在計算時需要考慮整數(shù)溢出的可能��,尤其在進(jìn)行內(nèi)存操作時��,需要對分配��、拷貝等大小進(jìn)行合法校驗(yàn)�����,防止整數(shù)溢出導(dǎo)致的漏洞��。 錯誤用法范例
正確用法范例
計算和操作數(shù)據(jù)的時候沒處理好��,它會引發(fā)高風(fēng)險漏洞:內(nèi)存破壞 在進(jìn)行計算或者操作時��,如果使用的最大值或最小值不正確�,使得該值比正確值多1或少1��,可能導(dǎo)致安全風(fēng)險��。 解決方案:建議使用 string���、vector 等組件代替原始指針和數(shù)組操作�。
編程中,數(shù)據(jù)運(yùn)算沒檢查除以零的情況����,它會引發(fā)低風(fēng)險的漏洞:拒絕服務(wù)漏洞。 在進(jìn)行除法運(yùn)算時�,需要判斷被除數(shù)是否為零,以防導(dǎo)致程序不符合預(yù)期或者崩潰��。
防止數(shù)字類型的錯誤強(qiáng)轉(zhuǎn) 在編程中數(shù)值類型沒處理好���,它會引發(fā)中風(fēng)險邏輯漏洞和高風(fēng)險內(nèi)存破壞漏洞��。 在有符號和無符號數(shù)字參與的運(yùn)算中�����,需要注意類型強(qiáng)轉(zhuǎn)�����,它可能導(dǎo)致的邏輯錯誤�,建議指定參與計算時數(shù)字的類型或者統(tǒng)一類型參與計算�。 下圖是參考范例
比較數(shù)據(jù)大小時加上最小或最大值的校驗(yàn) 編程中數(shù)據(jù)比較沒處理好,它會引發(fā)高風(fēng)險的內(nèi)存破壞漏洞 在編程中進(jìn)行數(shù)據(jù)大小比較時���,要合理地校驗(yàn)數(shù)據(jù)的區(qū)間范圍�,建議根據(jù)數(shù)值類型,對其進(jìn)行最大和最小值的判斷����,以防止非預(yù)期錯誤。
|
