关于溢出的bug，不得不防！

朱老师IT充电站

大家好，我是杂烩君。
关于溢出的bug，日常开发中需要多小心一点，特别是缓冲区溢出的bug，稍微一不注意就可以让你多加点班。

sjs254z0fbg64014891958.png

一、什么是整数溢出由于整数在内存里面保存在一个固定长度的空间内，它能存储的最大值和最小值是固定的，如果我们尝试去存储一个数，而这个数又大于这个固定的最大值时，就会导致整数溢出。（x86-32 的数据模型是 ILP32，即整数（Int）、长整数（Long）和指针（Pointer）都是 32 位。）
二、溢出类型及表现1、溢出只有符号的数才会发生溢出。对于signed整型的溢出，C的规范定义是“undefined behavior”，也就是说，编译器爱怎么实现就怎么实现。对于大多数编译器来说，仍然是回绕。
2、回绕无符号数会回绕（常绕过一些判断语句）。对于unsigned整型溢出，C的规范是有定义的——“溢出后的数会以2^(8* sizeof(type))作模运算”，也就是说，如果一个unsigned char（1字符，8bits）溢出了，会把溢出的值与256求模。例如：
unsigned char x = 0xff;
printf("%d
", ++x);
上面的代码会输出：0 （因为0xff + 1是256，与2^8求模后就是0）
3、截断将一个较大宽度的数存入一个宽度小的操作数中，高位发生截断
三、简单了解整数溢出的危害1、整数回绕之后，会导致索引越界，取到不确定的数据。
2、或者判断失效，形成死循环。
3、回绕之后，导致分配超大内存。
四、Keil将变量加入Watch后，如果溢出显示的值后会带个“？”号观察到这种情况就要注意了。
五、例子第一种情况——有符号溢出举个例子：int i;
i = INT_MAX; // 2 147 483 647
i++;
printf("i = %d
", i); // i = -2 147 483 648
第二种情况——无符号回绕举个列子：unsigned int ui;
ui = UINT_MAX; // 在 x86-32 上为 4 294 967 295
ui++;
printf("ui = %u
", ui); // ui = 0
ui = 0;
ui--;
printf("ui = %u
", ui); // 在 x86-32 上，ui = 4 294 967 295
第三种情况——高位截断截断举俩例子：加法截断：
0xffffffff + 0x00000001
= 0x0000000100000000 (long long)
= 0x00000000 (long)
乘法截断：
0x00123456 * 0x00654321
= 0x000007336BF94116 (long long)
= 0x6BF94116 (long)
漏洞多发的函数1、memcpy(void * dest, const void * src, size_t n)函数
2、strncpy(char * dest,const char * src, size_t n)函数
ps说明：其中参数n，是size_t类型，size_t是一个无符号整型的类型。
C语言源码示例：示例一：char buf[80];
void vulnerable()
{
    int len = read_int_from_network();
    char *p = read_string_from_network();
    if (len > 80)
    {
        error("length too large: bad dog, no cookie for you!");
        return;
    }
    memcpy(buf, p, len);
}
当给len赋值为负数时，可绕过if判断，因为memcpy()函数中 的len是size_t类型会把负数len转换为整数，当len被赋值后绝对值很大时就会复制大量的内容到buf中，发生溢出。
示例二：void vulnerable()
{
    size_t len;
    // int len;
    char* buf;
    len = read_int_from_network();
    buf = malloc(len + 5);
    read(fd, buf, len);
    ...
}
这个例子看似避开了缓冲区溢出的问题，但是如果 len 过大，len+5 有可能发生回绕。比如说，在 x86-32 上，如果 len = 0xFFFFFFFF，则 len+5 = 0x00000004，这时 malloc() 只分配了 4 字节的内存区域，然后在里面写入大量的数据，缓冲区溢出也就发生了。（如果将 len 声明为有符号 int 类型，len+5 可能发生溢出）
示例三：void main(int argc, char *argv[])
{
    unsigned short int total;
    total = strlen(argv[1]) + strlen(argv[2]) + 1;
    char *buf = (char *)malloc(total);
    strcpy(buf, argv[1]);
    strcat(buf, argv[2]);
    ...
}
这个例子接受两个字符串类型的参数并计算它们的总长度，程序分配足够的内存来存储拼接后的字符串。首先将第一个字符串参数复制到缓冲区中，然后将第二个参数连接到尾部。如果攻击者提供的两个字符串总长度无法用 total 表示，则会发生截断，从而导致后面的缓冲区溢出。
原文：https://www.cnblogs.com/jopny/p/13527880.html
本文来源网络，免费传达知识，版权归原作者所有。如涉及作品版权问题，请联系我进行删除。
精彩内容：嵌入式中，日志调试法的一些规则！
嵌入式开发调试利器 | Sanitizer检测器
汇总嵌入式中一些实用的辅助工具！
易懂 | 手把手教你编写你的第一个上位机
来了解一下较受欢迎的Git可视化工具！
轻如羽翼，超轻量的嵌入式数据库！
推荐一个好用的嵌入式静态代码扫描工具！
嵌入式中，升级时涉及的协议兼容性问题？
嵌入式，可测试性软件设计！几个备受推崇的C语言项目，你了解几个？