信管网每日一练

信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2022/1/14）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2022/1/14

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2022/1/14）

阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。
【说明】
某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

【问题1】（4分）
用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？
【问题2】（4分）
上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。

信管网cnitpm493202373597：
只要输入长度为24的字符串，前12个字符和后12个字符一样 必须保证输入长度不会超过缓冲区，一旦输入超过12字符的口令就会导致缓冲区溢出 使用安全函数来代替

信管网ipａｎｄa：
输入24字符，前12位和后12保持一致即可 缓冲区溢出 1.使用安全函数fgets 代替不安全函数 2. 对用户输入字符进行验证限制 3.用if判断用户输入是否越界

信管网ipａｎｄa：
1、超过24位字符数，其中前12位跟后12位需要一样即可。 2、安全隐患：缓冲区溢出 消除思路：1.使用安全函数fgets代替gets函数 2.设置对用户输入信息检查，包括字符数信息等，防止溢出 3.使用if语句判断是否越界

信管网cnitpm1633748220：
1、用户输入24个字符，前12个字符和后12个字符相同，就可以在 2、缓冲区溢出 编写正确的代码，检查输入字符的长度