信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/10/19）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/10/19

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/10/19）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應(yīng)欄內(nèi)。
【說明】
某一本地口令驗證函數(shù)（C語言環(huán)境，X86_32指令集）包含如下關(guān)鍵代碼：某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個數(shù)組中的內(nèi)容相同則允許進(jìn)入系統(tǒng)。

【問題1】（4分）
用戶在調(diào)用gets()函數(shù)時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數(shù)的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網(wǎng)cnitpm443645870225：
1. 2.上述代碼存在口令可被繞過的風(fēng)險，存在代碼注入漏洞，應(yīng)對用戶數(shù)據(jù)的數(shù)據(jù)進(jìn)行過濾，保證用戶輸入的數(shù)據(jù)不被轉(zhuǎn)換為代碼進(jìn)行執(zhí)行。

信管網(wǎng)cnitpm1453623058：
1、前12個字符和后續(xù)的12個字符相同們就可以在不知道原始口令＂secret＂的情況下繞過該口令驗證函數(shù)的限制 2、存在緩沖區(qū)溢出的攻擊。加入檢查用戶輸入口令的長度的方法。

信管網(wǎng)chenyuntao：
問題1：輸入連續(xù)24個字符組成的字符串，且前12個字符和后12個字符完全相同。 問題2：緩沖區(qū)溢出漏洞。加入檢查輸入字符串長度的代碼，使長度不超過12個字符。

信管網(wǎng)chenyuntao：
問題1：輸入24個字符的字符串，前1前個字符和后12個完全相同。 問題2：緩沖區(qū)溢出漏洞。對輸入字符串的長度限制為不超過12。