信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/11/11）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2022/11/11

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2022/11/11）

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號殺手。在C語言程序開發(fā)中，由于C語言自身語法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在Ｃ程序開發(fā)中充分利用現(xiàn)有開發(fā)工具提供的各種安全編譯選項，減少出現(xiàn)漏洞的可能性。
【問題1】(4分)
圖5-1給出了一段有漏洞的C語言代碼(注：行首數(shù)字是代碼行號)，請問，上述代碼存在哪種類型的安全漏洞?該漏洞和Ｃ語言數(shù)組的哪一個特性有關(guān)?

【問題2】(4分)
圖5-2給出了C程序的典型內(nèi)存布局，請回答如下問題。

（1）請問圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個區(qū)域中？
（2）請問stack的兩個典型操作是什么？
（3）在圖5-2中的stack區(qū)域保存數(shù)撕時， 其地址增長方向是往高地址還是往低地址更高?
（4）對于圖5-1代碼中的第9行和第10行代碼的兩個變量，哪個變量對應(yīng)的內(nèi)存地
【問題3】(6分)
微軟的Visual Studio提供了很多安全相關(guān)的編譯選項， 圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁而的截圖。請回答以下問題。

(1)請問圖5-3中哪項配置可以有效緩解上述代碼存在的安全漏洞?
(2)如果把圖5-1中第10行代碼改為char buffer[4]；圖5-3的安全編譯選項是否還起作用?
(3)模糊測試是否可以檢測出上述代碼的安全漏洞?
信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/502465698.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)來一個痛快的：
問題1： 緩沖區(qū)溢出，strcpy 問題2： stack pull和pop 低地址 security check 可以起作用 可以測出

信管網(wǎng)cnitpm581581752647：
1.1 緩沖區(qū)溢出＜br＞1.2和數(shù)組沒有邊界限定的特性有關(guān)＜br＞2.1stack＜br＞2.2 入棧和出棧＜br＞2.3往低地址更高＜br＞2.4authenticated＜br＞3.security check＜br＞3.2起作用＜br＞3.3可以。模糊測試可以用隨機參數(shù)測試程序直至發(fā)現(xiàn)漏洞＜br＞

信管網(wǎng)liyazhou：
1.緩沖區(qū)溢出，strcpy有關(guān) 2.stack,壓棧（push）、出棧（pop）,高地址，buffer[8] 3.security check,起作用，可以發(fā)現(xiàn)上述代碼的安全漏洞

信管網(wǎng)a981224：
問題一：緩沖區(qū)溢出、數(shù)組一個大小占固定空間 問題二： （1）initialized （2）入棧和出棧 （3）高方向 （4）authenticated 問題三： （1）general （2）不起作用 （3）可以

信管網(wǎng)cnitpm566219552498：
問題1： 問題2： （1）initialized data （2） （3）往高地址 （4）第九行 問題3： （1）code generation （2）還起作用 （3）不可以

信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/502465698.html