2016下半年信息安全工程師下午案例分析真題試題5與答案

點擊查看：2016下半年信息安全工程師下午案例分析真題匯總

點擊查看：2016下半年信息安全工程師真題與查分專題（綜合與案例分析）

試題五（共8分） 
 閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應欄內。
【說明】
某一本地口令驗證函數(shù)（C語言環(huán)境，X86_32指令集）包含如下關鍵代碼：某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個數(shù)組中的內容相同則允許進入系統(tǒng)。 

【問題1】（4分）
用戶在調用gets()函數(shù)時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數(shù)的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網參考答案：

【問題一】
只要輸入長度為24的字符串，其前12個字符和后12個字符一樣即可。
【問題二】
gets（）函數(shù)必須保證輸入長度不會超過緩沖區(qū)，一旦輸入大于12個字符的口令就會造成緩沖區(qū)溢出。
解決思路：使用安全函數(shù)來代替gets（）函數(shù)，或者對用戶輸入進行檢查和校對，可通過if條件語句判斷用戶輸入是否越界。