2021年10月20日来源:信管网 作者:cnitpm
信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6
往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class/27/e6_1.html
信息安全工程师案例分析每日一练试题(2021/10/19)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/10/19
点击查看:更多信息安全工程师习题与指导
信息安全工程师案例分析每日一练试题内容(2021/10/19)
阅读下列说明和代码,回答问题1和问题2,将解答卸载答题纸的对应栏内。
【说明】
某一本地口令验证函数(C语言环境,X86_32指令集)包含如下关键代码:某用户的口令保存在字符数组origPassword中,用户输入的口令保存在字符数组userPassword中,如果两个数组中的内容相同则允许进入系统。
【问题1】(4分)
用户在调用gets()函数时输入什么样式的字符串,可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制?
【问题2】(4分)
上述代码存在什么类型的安全隐患?请给出消除该安全隐患的思路。
信管网考友试题答案分享:
信管网cnitpm443645870225:
1.
2.上述代码存在口令可被绕过的风险,存在代码注入漏洞,应对用户数据的数据进行过滤,保证用户输入的数据不被转换为代码进行执行。
信管网cnitpm1453623058:
1、前12个字符和后续的12个字符相同们就可以在不知道原始口令"secret"的情况下绕过该口令验证函数的限制
2、存在缓冲区溢出的攻击。加入检查用户输入口令的长度的方法。
信管网chenyuntao:
问题1:输入连续24个字符组成的字符串,且前12个字符和后12个字符完全相同。
问题2:缓冲区溢出漏洞。加入检查输入字符串长度的代码,使长度不超过12个字符。
信管网chenyuntao:
问题1:输入24个字符的字符串,前1前个字符和后12个完全相同。
问题2:缓冲区溢出漏洞。对输入字符串的长度限制为不超过12。
温馨提示:因考试政策、内容不断变化与调整,信管网提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!
相关推荐