信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2024/7/5）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2024/7/5

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2024/7/5）

阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。
【说明】
代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中，由于C语言自身语法的一些特性，很容易出现各种安全漏洞。因此，应该在Ｃ程序开发中充分利用现有开发工具提供的各种安全编译选项，减少出现漏洞的可能性。
【问题1】(4分)
图5-1给出了一段有漏洞的C语言代码(注：行首数字是代码行号)，请问，上述代码存在哪种类型的安全漏洞?该漏洞和Ｃ语言数组的哪一个特性有关?

【问题2】(4分)
图5-2给出了C程序的典型内存布局，请回答如下问题。

（1）请问图5-1的代码中第9行的变量authenticated保存在图5-2所示的哪个区域中？
（2）请问stack的两个典型操作是什么？
（3）在图5-2中的stack区域保存数撕时， 其地址增长方向是往高地址还是往低地址更高?
（4）对于图5-1代码中的第9行和第10行代码的两个变量，哪个变量对应的内存地
【问题3】(6分)
微软的Visual Studio提供了很多安全相关的编译选项， 图5-3给出了图5-1中代码相关的工程属性页而的截图。请回答以下问题。

(1)请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?
(2)如果把图5-1中第10行代码改为char buffer[4]；图5-3的安全编译选项是否还起作用?
(3)模糊测试是否可以检测出上述代码的安全漏洞?
信管网试题答案与解析：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2024/7/5

信管网考友试题答案分享：

信管网cnitpm626921424055：
缓冲区溢出 1.initalized data 2.先进后出 3.高地址 4.buffer1.security check 2.起 3.可以

信管网jiangliyo：
1.缓冲区（栈）溢出。不对数组越界进行检查。 2.stack，push（入栈）、pop（弹栈），高地址，第9行 3.enable security check（/gs），不起作用，可以检测出漏洞

信管网cnitpm652693530860：
＜br /＞＜img src=＂http://pic.cnitpm.com/upload/2023/11/tbimg/11-01/1698822315.jpg＂ /＞

信管网cnitpm682124346788：
1. 缓冲区溢出漏洞 数组没有越界检查 2. stack push 入栈 pop 出栈 往低地址增长 buff au 3. gs 有作用 可以

信管网试题答案与解析：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2024/7/5