信管网每日一练

信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题（2020/8/31）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/8/31

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2020/8/31）

阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。
【说明】
某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

【问题1】（4分）
用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？
【问题2】（4分）
上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。

信管网cnitpm439753710：
问题1： 字符长度为12的字符串；输入两段长度为12且字符串相同的字符串。 问题2： 缓冲区溢出，

信管网caigege：
1."userpassword=password ｏｒ 1=1" 2.缓冲区溢出，限制输入的数据长度。

信管网cnitpm5779671990：
长度等于24，且前12个字符和后12个字符一样时。 gets存在缓冲区溢出，应该使用更安全的函数来替换gets，并检查用户的输入是否越界。

信管网denggh：
1.只要输入长度为24个字符串，其前12个字符和后12 字符一样即可 2.gets（）函数必须保证输入的长度不会超过缓冲区，一旦输入大于12 个字符的口令就会造成缓冲区溢出