缓冲区溢出漏洞的原理、成因、类型及最佳防范实践（借助Perforce 的Klocwork/Hleix QAC等静态代码分析工具）

本文来源perforce.com，由Perforce中国授权合作伙伴-龙智翻译整理。

缓冲区溢出（buffer overflow/overrun）是最常见的代码漏洞之一。如果缓冲区溢出漏洞未得到解决，不可信的代理可能会利用该漏洞并发起攻击。

本文将详细介绍什么是缓冲区溢出、如何防止缓冲区溢出并提供常见示例，帮助您更简单、更轻松地保护软件免受此类威胁。

什么是缓冲区溢出？

缓冲区溢出（buffer overflow/overrun）是一种常见的软件安全漏洞。这一软件安全问题非常严重，因为它会使系统面临潜在的网络威胁和攻击。

导致缓冲区溢出漏洞的原因是什么？

当缓冲区中存储的数据超出其容量时，就会发生缓冲区溢出漏洞。多余的数据会“溢出”到相邻的存储空间。缓冲区溢出问题一旦发生，可能会导致整个系统的崩溃。

缓冲区溢出攻击是如何运作的？

在常见漏洞枚举（CWE）和SANS最危险的软件错误列表Top25中，缓冲区溢出一直是排名前列的问题之一。
尽管缓冲区溢出是一个广为人知的问题，但在源代码中检测和防止缓冲区溢出仍然具有挑战性。这需要持续的检测和最佳实践培训，以正确处理这些溢出问题。此外，那些未被检测到的缓冲区溢出，可能会继续影响成千上万个易受攻击的系统。
网络攻击者可以利用程序内存分配过程中的特定漏洞，并通过操控输入来使系统溢出。通过发送大于缓冲区可以处理的数据输入的任意或恶意代码，攻击者可以更改程序的执行流程并控制程序。
C和C++是最易受到缓冲区溢出攻击的语言，因为它们没有内置机制来防止访问和覆盖内存的数据。现代语言如C#和Java则不太可能受到攻击，因为它们减少了导致缓冲区溢出的编码错误。然而，只要允许内存操作，任何环境中都有可能发生缓冲区溢出。

缓冲区溢出攻击的类型

大多数的缓冲区溢出攻击可以分为两类：
1、基于栈的攻击：
在程序内存中，栈是一个用于存储局部变量和函数调用的空间。栈通常是空的，主要设计为“后进先出”的结构，因此不适合一次性存储大量数据。攻击者通过注入文件来触发过量的内存分配，或发送隐藏的恶意代码负载，来利用应用程序中基于栈的缓冲区溢出漏洞，从而获得系统的访问权限。
2、基于堆的攻击：
与栈不同，堆管理动态内存，并且是手动管理的。程序员可以在编译时未知大小的情况下将内存分配给堆。虽然基于堆的漏洞更难利用，但基于堆的溢出攻击对系统的破坏性更大，因此也会吸引攻击者。基于堆的溢出攻击会淹没程序预留的内存空间，超出当前运行时操作所需的内存。

以下是一些缓冲区溢出的常见示例：

• ABV.ANY_SIZE_ARRAY
• ABV.GENERAL
• ABV.ITERATOR
• ABV.MEMBER
• ABV.STACK
• ABV.TAINTED
• ABV.UNICODE.BOUND_MAP
• ABV.UNICODE.FAILED_MAP
• ABV.UNICODE.NNTS_MAP
• ABV.UNICODE.SELF_MAP
• ABV.UNKNOWN_SIZE
• NNTS.MIGHT
• NNTS.MUST
• NNTS.TAINTED
• RABV.CHECK
• RN.INDEX
• SV.FMT_STR.BAD_SCAN_FORMAT
• SV.STRBO.BOUND_COPY.OVERFLOW
• SV.STRBO.BOUND_COPY.UNTERM
• SV.STRBO.BOUND_SPRINTF
• SV.STRBO.UNBOUND_COPY
• SV.STRBO.UNBOUND_SPRINTF
• SV.UNBOUND_STRING_INPUT.CIN
• SV.UNBOUND_STRING_INPUT.FUNC

如何检测C语言中的缓冲区溢出漏洞并防止攻击？

除了遵循安全编码的最佳实践外，检测此类漏洞的最佳方法是使用静态代码分析工具，例如Perforce所提供的Klocwork和Helix QAC。
Klocwork拥有一套广泛的软件安全检查器，帮助确保安全漏洞不会被利用。每个检查器都提供违规描述、潜在漏洞和风险的解释以及代码示例。
Helix QAC 是一款专为 C 和 C++ 语言设计的高精度静态代码分析工具。它能够深入分析代码库，检测可能导致缓冲区溢出等安全漏洞的编码缺陷。Helix QAC 提供详细的诊断信息，包括问题的根本原因、修复建议以及合规性标准（如 MISRA、ISO 26262）的支持，从而帮助团队满足行业安全要求。此外，Helix QAC 的分析结果清晰易懂，支持团队快速定位和解决潜在的安全隐患。

如何在C和其他语言中防止缓冲区溢出？

以下是防止缓冲区溢出漏洞的方法。
■使用不引发软件漏洞的编程语言
完全避免网络攻击的方法之一是使用不引发此类漏洞的编程语言。例如，C语言是缓冲区攻击的主要目标，该语言通过直接访问内存从而引发漏洞。而像Java、Python和.NET等语言，则对缓冲区漏洞免疫。
■开发过程中注意缓冲区的使用情况
防止软件漏洞的另一种方法是在开发过程中注意缓冲区的使用情况。缓冲区被访问的地方就是漏洞可能发生的地方，尤其是当函数涉及用户生成的输入时。
■遵循防止缓冲区溢出的最佳实践
以下是可遵循的5个最佳实践：

1.使用自动化的代码审查和测试。

2.对DevOps团队进行关于使用不安全函数的概念培训。

3.关注于安全函数，如使用strncpy而非strcpy、使用strncat而非strcat。

4.保持应用程序服务器的补丁更新。

5.使用代码分析工具定期检查应用程序是否存在软件安全漏洞。

使用Klocwork/Helix QAC防止缓冲区溢出漏洞

为了确保您的应用程序免受缓冲区溢出等破坏性的软件漏洞攻击，建议您使用静态代码分析工具。正如前面所提到的，C和C++特别容易受到缓冲区溢出的影响。为了保护C和C++应用程序，您可以使用Klocwork 或 Helix QAC 等静态代码分析工具，并运行MISRA 或 CERT 等编码标准来识别软件漏洞。
静态应用安全测试（SAST）工具对于检测软件应用中的安全漏洞至关重要。借助SAST工具，您可以在代码开发过程中发现安全漏洞问题。
如果您的组织希望主动防范安全威胁，请使用静态代码分析工具（如Klocwork或Helix QAC）！