好看的言情小说,古风小说君子以泽

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

安全編程：初始化那些你忽略掉的東西

對于黑客來說，特權提升漏洞是令他感到非常興奮的事情，而有時候這種漏洞的來源僅僅是因為開發(fā)者忘記將內存緩沖區(qū)中的垃圾數(shù)據(jù)進行初始化。此話怎講？

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務，包含不限于成都網(wǎng)站設計、成都網(wǎng)站制作、富錦網(wǎng)絡推廣、微信小程序開發(fā)、富錦網(wǎng)絡營銷、富錦企業(yè)策劃、富錦品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供富錦建站搭建服務，24小時服務熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

我想，現(xiàn)在每個人都應該熟悉 SecureZeroMemory 函數(shù)的使用，它用來擦除包含敏感信息的緩沖區(qū)，但是在將緩沖區(qū)的內容寫入另一個位置之前，你還必須將其清零。例如，請考慮以下二進制格式：

下面是一段想文件中寫入數(shù)據(jù)的例子：

在上面的代碼中，你有沒有看到隱藏在其中的安全問題？

如果輸入的注釋內容的長度短于 255 個字符，則在空終止字符之后的字節(jié)由未初始化的堆棧垃圾組成。這段堆棧垃圾數(shù)據(jù)中，可能包含你不打算泄漏到文件中的有趣信息。

當然，它不會包含你已經識別為高度敏感的信息，例如密碼，但它仍然可能包含雖然不太敏感，但對于尋找它的人來說仍然有價值的信息。

例如，根據(jù)編譯器決定放置局部變量的位置，你可能會將帳戶名泄漏到這些未使用的字節(jié)中。

有人告訴我，一家公司很久以前的網(wǎng)絡軟件也有一個類似的Bug。

他們使用了一種非常先進的”更改密碼”的算法，其細節(jié)并不重要。設計是只在網(wǎng)絡上傳輸高度加密的數(shù)據(jù)。這樣，在網(wǎng)絡上并捕獲數(shù)據(jù)包的黑客就不會看到任何有價值的東西。

但是他們的客戶端中有一個錯誤：當它向服務器發(fā)送加密密碼時，它忘記了清空”更改密碼”數(shù)據(jù)包中未使用的字節(jié)。在那些未使用的字節(jié)中，你猜對了，是純文本密碼的副本。

總結

道高一尺魔高一丈，我們必須小心行事。
寫代碼的同時，也將自己帶入到黑客角色問自己：”這段代碼會不會有安全漏洞？”

新聞名稱：安全編程：初始化那些你忽略掉的東西
URL分享：http://m.fisionsoft.com.cn/article/coicijg.html

新聞中心

總結

其他資訊