代码安全PPTQA-第三章 C和C++安全编码.pdf

目录

3.1C和C++开发安全现状

3.2C和C++常见安全漏洞

3.3C和C++安全编码规范

1

本章学习目标

1.了解C和C++开发的安全现状；

2.理解C和C++安全漏洞的原理；

3.理解C和C++漏洞的防御方法；

4.掌握C和C++安全编码规范；

2

3.1

C和C++开发安全现状

C和C++开发现状

C和C++拥有很好的内存操作能力，工作效率更高。

C和C++的应用领域非常广泛，包括操作系统、浏览器、嵌入式开发，游戏引擎和各类编辑器。

C和C++语言在2015,2016年TIOBE编程语言排行榜中稳固二三名。

Aug2015ChangeChange

Aug2016Ratings

Programming

Language

11Java19.010%-0.26%

22C11.303%-3.43%

33C++5.800%-1.94%

44C#4.907%+0.07%

55Python4.404%+0.34%

67PHP3.173%+0.44%

79JavaScript2.705%+0.54%

2.518%-0.19%

88VisualBasic.NET

910Perl2.511%+0.39%

+0.60%

1012Assemblylanguage2.364%

C和C++的安全问题

(1)指针的使用

程序员可通过指针对内存地址进行显示类型转换，访问对象的私有成员，破坏了对象的安全性，出现

非法指针解引用、内存泄漏等漏洞。

(2)全局变量不加封装

局部变量的修改可能导致全局空间的变量取值发生变化，从而影响其他函数取值和运行。

(3)调用危险函数

标准C/C++语言库中包含一些存在漏洞的危险函数，开发人员在编写代码时常调用这些危险函数。

O

■|

C和C++常见安全漏洞

缓冲区溢出

缓冲区溢出是指程序员向缓冲区读写的数据超出了缓冲区定义的容量，从而覆盖了缓冲区后面的其他内

存数据的现象。

攻击者可通过控制用户输入人为覆写栈帧或邻接内存的数据结构，从而执行构造的恶意代码。

得用户心跳包中无法提供足够多的数据，从而导致memcpy函数把SSLv3记录之后的数据直接输出。

释放后使用