信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/9/26）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/9/26

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內(nèi)容（2021/9/26）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應欄內(nèi)。
【說明】
某一本地口令驗證函數(shù)（C語言環(huán)境，X86_32指令集）包含如下關(guān)鍵代碼：某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個數(shù)組中的內(nèi)容相同則允許進入系統(tǒng)。

【問題1】（4分）
用戶在調(diào)用gets()函數(shù)時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數(shù)的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網(wǎng)cijian9000：
（1）輸入24個字符，而且前12位和后12位一致；＜br＞（2）gets函數(shù)可能存在緩沖期溢出漏洞，可以替換fgets函數(shù)，以及對用戶輸入進行檢查，判斷輸入的數(shù)據(jù)是否越界。

信管網(wǎng)cnitpm1482935986：
1、輸入長度為24的字符串，前12個字符和后12個字符的長度一致 2、存在緩存區(qū)溢出的安全漏洞 消除緩沖區(qū)溢出的漏洞： （1）使用安全函數(shù)fgets（） （2）對用戶輸入的長度進行驗證

信管網(wǎng)hellotiantianxiangshang：
問題一：輸入大于等于24個字節(jié)的字符串，其中第一個12個字符和第二個12個字符應該相同 問題二：緩沖區(qū)溢出攻擊。校驗輸入字符串的長度。

信管網(wǎng)vanwon：
1. 當字符串長度超過12個，且前12位與后12位字符一樣時，可繞過限制。 2. 緩沖區(qū)溢出，使用安全函數(shù)。