C和C++安全编码

.1.4　开发平台 13
1.4.1　操作系统 13
1.4.2　编译器 15
1.5　本章小结 16
1.6　阅读材料 16
第2章　字符串 17
2.1　字符串特征 17
2.2　常见的字符串操作错误 18
2.2.1　无界字符串复制 18
2.2.2　差一错误 20
2.2.3　空结尾错误 21
2.2.4　字符串截断 21
2.2.5　与函数无关的字符串错误 21
2.3　字符串漏洞 22
2.3.1　安全缺陷 23
2.3.2　缓冲区溢出 24
2.4　进程内存组织 24
2.5　栈粉碎 27
2.6　代码注入 30
2.7　弧注入 32
2.8　缓解策略 34
2.8.1　预防 34
2.8.2　字符串流 44
2.8.3　检测和恢复 45
2.9　著名的漏洞 48
2.9.1　远程登录 49
2.9.2　kerberos 49
2.9.3　metamail 49
2.10　本章小结 50
2.11　阅读材料 51
第3章　指针诡计 52
3.1　数据位置 52
3.2　函数指针 53
3.3　数据指针 54
3.4　修改指令指针 54
3.5　全局偏移表 56
3.6　.dtors区 57
3.7　虚指针 58
3.8　atexit()和on_exit()函数 60
3.9　longjmp()函数 61
3.10　异常处理 62
3.10.1　结构化异常处理 62
3.10.2　系统默认异常处理 64
3.11　缓解策略 65
3.11.1　w^x 65
3.11.2　canaries 65
3.12　本章小结 65
3.13　阅读材料 66
第4章　动态内存管理 67
4.1　动态内存管理 67
4.2　常见的动态内存管理错误 69
4.2.1　初始化 69
4.2.2　检查返回值失败 70
4.2.3　引用已释放的内存 71
4.2.4　多次释放内存 72
4.2.5　不匹配的内存管理函数 73
4.2.6　未正确区分标量和数组 73
4.2.7　对分配函数的不当使用 73
4.3　doug lea的内存分配器 74
4.3.1　内存管理 74
4.3.2　缓冲区溢出 76
4.3.3　双重释放漏洞 80
4.3.4　写入已释放的内存 83
4.4　rtlheap 83
4.4.1　win32中的内存管理 83
4.4.2　rtlheap的数据结构 85
4.4.3　缓冲区溢出 88
4.4.4　缓冲区溢出（再回顾） 89
4.4.5　写入已释放内存 92
4.4.6　双重释放 92
4.4.7　look-aside表 95
4.5　缓解策略 95
4.5.1　空指针 95
4.5.2　一致的内存管理约定 96
4.5.3　堆完整性检测 96
4.5.4　phkmalloc 97
4.5.5　随机化 98
4.5.6　哨位页 98
4.5.7　openbsd 98
4.5.8　运行时分析工具 99
4.5.9　windows xp sp2 100
4.6　著名的漏洞 101
4.6.1　cvs缓冲区溢出漏洞 102
4.6.2　微软数据访问组件（mdac） 102
4.6.3　cvs服务器双重释放漏洞 103
4.6.4　mit kerberos 5中的漏洞 103
4.7　本章小结 103
4.8　阅读材料 103
第5章　整数安全 105
5.1　整数 105
5.1.1　整数表示法 106
5.1.2　整数类型 106
5.1.3　整数取值范围 108
5.2　整型转换 109
5.2.1　整型提升 109
5.2.2　整数转换级别 109
5.2.3　从无符号整型转换 111
5.2.4　从带符号整型转换 112
5.2.5　带符号或无符号字符 113
5.2.6　普通算术转换 113
5.3　整数错误情形 113
5.3.1　整数溢出 114
5.3.2　符号错误 115
5.3.3　截断错误 115
5.4　整数操作 116
5.4.1　加法 117
5.4.2　减法 119
5.4.3　乘法 120
5.4.4　除法 122
5.5　漏洞 126
5.5.1　整数溢出 126
5.5.2　符号错误 127
5.5.3　截断错误..128
5.6　非异常的整数逻辑错误 129
5.7　缓解策略 130
5.7.1　范围检查 130
5.7.2　强类型 131
5.7.3　编译器运行时检查 131
5.7.4　安全的整数操作 132
5.7.5　任意精度的算术 136
5.7.6　测试 137
5.7.7　源代码审查 137
5.8　著名的漏洞 137
5.8.1　xdr库 137
5.8.2　windows directx midi库 138
5.8.3　bash 138
5.9　本章小结 139
5.10　阅读材料 140
第6章　格式化输出 141
6.1　变参函数 142
6.1.1　ansi c标准参数 142
6.1.2　unix system v varargs 144
6.2　格式化输出函数 144
6.2.1　格式字符串 145
6.2.2　gcc 147
6.2.3　visual c++.net 147
6.3　对格式化输出函数的漏洞利用 148
6.3.1　缓冲区溢出 148
6.3.2　输出流 149
6.3.3　使程序崩溃 149
6.3.4　查看栈内容 150
6.3.5　查看内存内容 151
6.3.6　覆写内存 152
6.3.7　国际化 156
6.4　栈随机化 156
6.4.1　阻碍栈随机化 156
6.4.2　以双字的格式写地址 157
6.4.3　直接参数存取 158
6.5　缓解策略 160
6.5.1　静态内容的动态使用 160
6.5.2　限制字节写入 161
6.5.3　iso/iec tr 24731 162
6.5.4　iostream与stdio 162
6.5.5　测试 163
6.5.6　编译器检查 164
6.5.7　词法分析 164
6.5.8　静态污点分析 164
6.5.9　调整变参函数的实现 165
6.5.10　exec shield 166
6.5.11　formatguard 166
6.5.12　libsafe 167
6.5.13　静态二进制分析 167
6.6　著名的漏洞 168
6.6.1　华盛顿大学ftp daemon 168
6.6.2　cde tooltalk 168
6.7　本章小结 169
6.8　阅读材料 170
第7章　文件i/o 171
7.1　并发 171
7.1.1　竞争条件 171
7.1.2　互斥和死锁 172
7.2　检查时间和使用时间 173
7.3　作为锁的文件和文件锁定 174
7.4　文件系统利用 176
7.4.1　符号链接利用 176
7.4.2　临时文件打开利用 178
7.4.3　unlink()竞争利用 180
7.4.4　受信文件名 180
7.4.5　非唯一的临时文件名 181
7.5　缓解策略 181
7.5.1　关闭竞争窗口 182
7.5.2　消除竞争对象 184
7.5.3　控制对竞争对象的访问 187
7.5.4　竞争侦测工具 188
7.6　本章小结 189
第8章　推荐的实践 190
8.1　安全的软件开发原则 191
8.1.1　机制经济性原则 192
8.1.2　失败-保险默认原则 192
8.1.3　完全仲裁原则 192
8.1.4　开放式设计原则 192
8.1.5　特权分离原则 192
8.1.6　最小特权原则 193
8.1.7　最少公共机制原则 193
8.1.8　心理可接受性原则 194
8.2　系统质量需求工程 194
8.3　威胁建模 195
8.4　使用/误用案例 196
8.5　架构与设计 196
8.6　现成软件 198
8.6.1　现有代码中的漏洞 198
8.6.2　安全的包装器 199
8.7　编译器检查 199
8.8　输入验证 200
8.9　数据净化 201
8.9.1　黑名单 201
8.9.2　白名单 202
8.9.3　测试 203
8.10　静态分析 203
8.10.1　fortify 203
8.10.2　prexis 204
8.10.3　prevent 204
8.10.4　prefix和prefast 205
8.11　质量保证 205
8.11.1　渗透测试 205
8.11.2　模糊测试 206
8.11.3　代码审计 206
8.11.4　开发人员准则与检查清单 206
8.11.5　独立安全审查 207
8.12　内存权限 207
8.12.1　w^x 207
8.12.2　pax 208
8.12.3　数据执行防护 208
8.13　深层防御 209
8.14　tsp-secure 209
8.14.1　计划和跟踪 209
8.14.2　质量管理 210
8.15　本章小结 211
8.16　阅读材料 211
参考文献 212
缩略语 ...223

.　　·第7章：描述了和文件I/O相关的常见漏洞，包括竞争条件（race condition）和TOCTOU（time of creation, time of use）漏洞。
　　·第8章：推荐了一些可以整体改善C/C++应用程序安全性的具体开发实践。这些建议是对每一章中用于解决特定漏洞问题的推荐做法的补充。
　　本书包含了数百个安全和不安全的代码示例以及漏洞利用示例。尽管其中有一些涉及与其他语言的比较，然而几乎所有例子都是C和C++的。这些例子都在Windows和Linux操作系统上验证过。除非另有说明，微软Windows程序示例均使用Visual C++ .NET编译，在运行Intel Pentium 4处理器的Windows 2000 专业版平台上测试。Linux程序示例则使用GNU gcc/g++编译，在运行Intel Pentium 4处理器的Red Hat Linux 9平台测试。
　　尽管具体的示例程序通常已在一个或多个环境下编译和测试过，然而漏洞都被予以评估，以决定它们是具体相关于以下因素，或者具有包含以下因素的普遍性：编译器版本、操作系统、微处理器、适用的C或C++标准、小端表示法（即：低位在前、高位在后）或大端表示法（即：高位在前、低位在后）架构，以及执行栈架构等。
　　本书集中讨论最常导致软件漏洞的C和C++编程缺陷。尽管如此，限于篇幅，本书并未涵盖漏洞的每一个可能来源。与本书有关的附加信息、更新信息、事件以及新闻参见http://www. cert.org/books/secure-coding/。书中讨论的漏洞也是参照引用来自US-CERT漏洞数据库（参见http://www.kb.cert.org/vuls/）的实际例子。
　　致谢
　　在此我要感谢为本书问世作出贡献的每一个人。首先要感谢Noopur Davis、Chad Dougherty、Fred Long、Rob Murawski、Nancy Mead、Robert Mead、Dan Plakosh、Jason Rafail以及David Riley，他们为本书作出了直接的贡献。还要感谢研究人员的贡献，他们是Omar Alhazmi、Mathew Conover、Jeffery S.Gennari、Oded Horovitz、Poul-Henning Kamp、Doug Lea、Yashwant Malaiya以及John Robert。
　　我要感谢SEI和CERT/CC的管理层，感谢他们的鼓励以及对我劳动成果的支持。他们是Jeffrey Carpenter、Shawn Hernan、Jeffrey Havrilla和Rich Pethia。
　　还要感谢编辑Peter Gordon和Addison-Wesley的其他一些职员，他们是Jennifer Andrews、Kim Boedigheimer、Chanda Leary-Coutu、John Fuller、Eric Garulay、Marie McKinley以及Elizabeth Ryan。
　　我还要感谢审稿人给予的深思熟虑的评论和富有洞察力的见解，他们是Tad Anderson、William Bulley、Corey Cohen、Will Dormann、Robin Eric Fredericksen、Amit Kalani、John Lambert、Jeffrey Lanza、David LeBlanc、William Fithen、Gary McGraw、Michael Howard、Ken MacInnis、Randy Meyers、Dave Mundie、Patrick Mueller、Craig Partridge、Brad Rubbo、Time Shimeall以及Katie Washok。
　　我要感谢CERT/CC小组其他成员的支持和协助，没有他们我永远都不可能完成本书。最后（但并非最不重要），感谢单位内部的编辑和图书管理员，他们的帮助使得本书的最终问世成为可能，他们是Rachel Callison、Pamela Curtis、Len Estrin、Eric Hayes、Karen Riley、 Sheila Rosenthal以及Barbara White。...