日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
防止緩沖區(qū)溢出攻擊的策略

了解了緩沖區(qū)溢出是如何發(fā)生的以后,如何防止黑客利用緩沖區(qū)溢出攻擊并控制你的本地應(yīng)用程序就是一個(gè)很重要的問(wèn)題了。

創(chuàng)新互聯(lián)建站專(zhuān)注于企業(yè)營(yíng)銷(xiāo)型網(wǎng)站、網(wǎng)站重做改版、榆中網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、html5成都商城網(wǎng)站開(kāi)發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù),價(jià)格優(yōu)惠性?xún)r(jià)比高,為榆中等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

避免使用編譯器中自帶的庫(kù)文件

編程語(yǔ)言通常都要帶有庫(kù)文件。如果一個(gè)庫(kù)文件具有某些漏洞,任何包括該庫(kù)文件的應(yīng)用程序就都會(huì)有這些漏洞。因此,黑客往往會(huì)先試圖利用常用的庫(kù)文件中已知的漏洞來(lái)達(dá)到攻擊本地應(yīng)用程序的目的。

庫(kù)文件本身也不可靠。雖然最新的編譯器都開(kāi)始加入大量可靠的庫(kù)文件,但長(zhǎng)期以來(lái)庫(kù)文件為了提供了快速、簡(jiǎn)單的方式來(lái)完成任務(wù),幾乎沒(méi)有考慮到安全編碼的問(wèn)題。C + +編程語(yǔ)言就是這種形式的最典型代表。而用C + +編寫(xiě)的程序中依賴(lài)的標(biāo)準(zhǔn)庫(kù)就很容易在運(yùn)行時(shí)產(chǎn)生錯(cuò)誤,這也為希望利用緩沖區(qū)溢出進(jìn)行攻擊的黑客們提供了實(shí)現(xiàn)他們想法的機(jī)會(huì)。

驗(yàn)證所有的用戶(hù)輸入

要在本地應(yīng)用程序上驗(yàn)證所有的用戶(hù)輸入,首先要確保輸入字符串的長(zhǎng)度是有效長(zhǎng)度。舉個(gè)例子,假設(shè)你的程序設(shè)計(jì)的是接受50個(gè)文本字符的輸入,并將它們添加到數(shù)據(jù)庫(kù)里。如果用戶(hù)輸入75個(gè)字符,那么他們就輸入了超出數(shù)據(jù)庫(kù)可以容納的字符,這樣以來(lái)誰(shuí)都不能預(yù)測(cè)程序接下來(lái)的運(yùn)行狀況。因此,用戶(hù)的輸入應(yīng)該這樣設(shè)計(jì):在用戶(hù)輸入文本字符串時(shí),先將該字符串的長(zhǎng)度同最大允許長(zhǎng)度進(jìn)行比較,在字符串超過(guò)最大允許長(zhǎng)度時(shí)能對(duì)其進(jìn)行必要的攔截。

過(guò)濾掉潛在的惡意輸入

過(guò)濾是另一個(gè)很好的防御措施。先看下面例子中的ASP代碼:

這是從用戶(hù)的輸入中過(guò)濾掉HTML代碼,撇號(hào)和引號(hào)的代碼。

strNewString = Request.Form("Review")

strNewString = Replace(strNewString, "&", "& amp;")

strNewString = Replace(strNewString, "<", "& lt;")

strNewString = Replace(strNewString, ">", "& gt;")

strNewString = Replace(strNewString, "'", "`")

strNewString = Replace(strNewString, chr(34), "``")

上面的代碼用于目前我正在開(kāi)發(fā)的電子商務(wù)網(wǎng)站中。這樣做的目的是為了過(guò)濾掉可能會(huì)導(dǎo)致數(shù)據(jù)庫(kù)出現(xiàn)問(wèn)題的HTML代碼和符號(hào)。在HTML代碼中,使用"<"和">"的符號(hào)來(lái)命名一個(gè)HTML標(biāo)簽。為了防止用戶(hù)可能會(huì)在他們的輸入里嵌入HTML代碼,因此程序過(guò)濾掉了"<"和">"符號(hào)。

在ASP代碼中,撇號(hào),引號(hào)和連字符都是保留符號(hào)。這些保留的符號(hào)不可以包括在用戶(hù)的輸入中,否則它們會(huì)導(dǎo)致應(yīng)用程序崩潰。例如,如果用戶(hù)輸入一個(gè)文本行中只使用了一個(gè)撇號(hào),之后登陸數(shù)據(jù)庫(kù)時(shí),這個(gè)命令將會(huì)失敗,因?yàn)锳SP需要利用成對(duì)的撇號(hào)將文本括起來(lái)提交到數(shù)據(jù)庫(kù)里;ASP不知道如何處理用戶(hù)的輸入中的撇號(hào)。為了防止這種情況發(fā)生,以上的代碼可以尋找到輸入字符串中的撇號(hào),并以“'“替代它。

測(cè)試應(yīng)用程序

為了保護(hù)程序免受緩沖區(qū)溢出的攻擊,驗(yàn)證和過(guò)濾用戶(hù)的輸入已經(jīng)實(shí)施很久了。但在部署應(yīng)用程序之前,你仍然需要對(duì)它進(jìn)行全面徹底的測(cè)試。應(yīng)當(dāng)有專(zhuān)門(mén)的人來(lái)仔細(xì)地審查應(yīng)用程序,并試圖使它們崩潰。讓他們嘗試輸入長(zhǎng)的字符串或保留字符。如果你的應(yīng)用程序在編寫(xiě)中已經(jīng)做了足夠的工作,它應(yīng)該能應(yīng)付各種各樣的情況。如果程序崩潰了,最好馬上把問(wèn)題找出來(lái),而不要等到已經(jīng)應(yīng)用之后。


新聞名稱(chēng):防止緩沖區(qū)溢出攻擊的策略
網(wǎng)站地址:http://www.dlmjj.cn/article/djshdjj.html