危险的API

于 2024-09-04 08:45:00 发布
阅读量1.7k 收藏 50
点赞数 22
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_87099587/article/details/141883136
版权
  1. 概述

在前面的安全编码实践的文章里,我们讨论了GS编译选项,<wbr>数据执行保护</wbr>DEP功能,以及静态代码分析工具Prefast。<wbr>这里,我们讨论在</wbr>C/C++代码中禁用危险的API,<wbr>其主要目的是为了减少代码中引入安全漏洞的可能性。</wbr>

  1. 那些是危险的API

2.1历史

在微软产品的安全漏洞中,有很大一部分是由于不正确的使用<wbr>C</wbr>动态库(C Runtime Library) 的函数,特别是有关字符串处理的函数导致的。<wbr>表一给出了微软若干由于不当使用</wbr>C动态库函数而导致的安全漏洞【<wbr>1</wbr>,p242】。

微软安全公告 涉及产品 涉及的函数
MS02-039 Microsoft SQL Server 2000 sprint
MS05-010 Microsoft License Server lstrcpy
MS04-011 Microsoft Windows (DCPromo) wvsprintf
MS04-011 Microsoft Windows (MSGina) lstrcpy
MS04-031 Microsoft Windows (NetDDE) wcscat
MS03-045 Microsoft Windows (USER) wcscpy

表1:不当使用C动态库函数而导致的安全漏洞

不当使用C动态库函数容易引入安全漏洞,这一点并不奇怪。<wbr>C</wbr>动态库函数的设计大约是30年前的事情了。当时,<wbr>安全方面的考虑并不是设计上需要太多注意的地方。</wbr>

2.2 危险API的列表

有关完整的危险API的禁用列表,大家可以参见http:<wbr>//msdn.microsoft.com/en-us/<wbr>library/bb288454.aspx</wbr></wbr>.

在这里我们列出其中的一部分,以便大家对那些API被禁用<wbr>有所体会。</wbr>

禁用的API 替代的StrSafe函数 替代的Safe CRT函数
有关字符串拷贝的API
strcpy, wcscpy, _tcscpy, _mbscpy, StrCpy, StrCpyA, StrCpyW, lstrcpy, lstrcpyA, lstrcpyW, strcpyA, strcpyW, _tccpy, _mbccpy StringCchCopy, StringCbCopy,

StringCchCopyEx, StringCbCopyEx

 strcpy_s
最低0.47元/天 解锁文章
C++的字符串拷贝函数
甜筒八部 的专栏
05-13 3086
wcscpy_s(pValue, *pBufLen, strValue.c_str()); memcpy_s(pValue, *pBufLen, strValue.c_str(), nLen);
【总结】_tcscpy和wcscpy的区别和联系
最新发布
JQW_CSU的博客
03-22 632
_tcscpy和wcscpy 别再分不清啦!!
wcscpy wcscpy_s strcpy strcpy_s的区别
梦想摆渡的专栏
07-20 1万+
原型声明:extern char *strcpy(char *dest,const char *src); 头文件:string.h 功能:把从src地址开始且含有NULL结束符的字符串赋值到以dest开始的地址空间 说明:src和dest所指内存区域不可以重叠且dest必须有足够的空间来容纳src的字符串。 返回指向dest的指针。
危险API禁用列表
weixin_34315665的博客
08-02 138
危险API禁用列表 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/08/02/3845672.html
API 505 2018 API防爆规范
06-01
8.石油工业中的爆炸危险区域分类:API 505 2018规定了石油工业中的爆炸危险区域分类,包括Class I、Zone 0、Zone 1和Zone 2等不同的爆炸危险区域。 9.American Petroleum Institute(API)的贡献:API的贡献在于...
esapi-java-legacysource-esapi-2.1.0.1.zip
02-13
他们发布了一系列的资源,包括OWASP Top 10,列出了最常见且危险的Web应用程序安全风险。ESAPI是OWASP项目的一部分,直接回应了这些风险,提供了相应的解决方案。 **3. 版本2.1.0.1的意义:** 这个版本号表示这是一...
AndroidAPI文档完整版
05-02
- 权限分为正常权限和危险权限,危险权限需要用户在运行时同意。 10. **Android Studio集成开发环境** - Android Studio是Google提供的官方IDE,包含了代码编辑器、调试工具、构建系统和模拟器等功能。 - Gradle...
最新FeDex物流对接API文档
06-04
由于危险品运输涉及到复杂的安全规范,FedEx提供了一套专门的API来处理危险品和危险材料的运输需求。文档中详细描述了FedEx Express、FedEx Ground U.S. 和Dry Ice Shipments的处理规则和操作细节。 ####电子贸易...
wcscpy和wcscat
朱铭雷的日记本
05-27 7702
=============================================================标题:wcscpy和wcscat摘要:备注:Windows CE 5.0 + VS2005日期:2010.5.27姓名:朱铭雷============================================================= 
_tcscpy_s(或 strcpy) 等用法的注意事项
热门推荐
W_SX12553的专栏
01-15 2万+
背景缘由:由于之前一般都用未设定字符集编码, 现在改成Unicode.    我编码时都用 TCHAR 来替代 char啊. 为什么我这一句就出错呢 TCHAR szDeviece[32];   _tcscpy_s(szDevice, sizeof(szDevice), mixTemp.szDevice);  //  出错的一句   我想了很久,觉得自己这样有中间的那个参数限定,不
安全编码实践四:C/C++中禁用危险API
技术代码资料库
10-23 215
《程序员》9月文章 申明。文章仅代表个人观点,与所在公司无任何联系。 概述 在前面的安全编码实践的文章里,我们讨论了GS编译选项,&lt;wbr&gt;数据执行保护&lt;/wbr&gt;DEP功能,以及静态代码分析工具Prefast。&lt;wbr&gt;这里,我们讨论在&lt;/wbr&gt;C/C++代码中禁用危险API,&lt;wbr&gt;其主要目的是为了减少代码中引入安全...
浅谈wcscpy_s之用法
qinrenzhi的博客
01-22 1万+
wcscpy_s是一个能够拷贝宽字符类型字符串的安全函数。它返回一个error_t类型的值。   wcscpy_s的函数原型为:  1 error_t wcscpy_s(wchar_t *strDestination,size_t numberOfCharacters,const wchar_t *strSource);   其中strDestination为指向将要复制字符串的目的缓冲区...
一个关于wcscpywcscpy_s的问题
南的专栏
05-25 8910
wcscpy()即为strcpy()的宽字符版本(Unicode),与_T类似的,Visual C++提供了类似的同名函数: #ifdef UNICODE #define _tcscpy wcscpy #else #define _tcscpy strcpy #endif wcscpy_s的作用和前面一样,不过是MS搞出来的带有
strcpy、wcscpy与_tcscpy
黑色星辰
09-08 1万+
4.5.4  strcpy、wcscpy与_tcscpyC++标准库函数提供了字符和字符串的操作函数,并提供了其UNICODE版本,如:char *strcpy(char *strDestination, const char *strSource);  wchar_t *wcscpy(wchar_t *strDestination, const wchar_t *strSource); 
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8708
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值