CWE-127: Buffer Under-read（缓冲区下界之下读取）

最新推荐文章于 2023-11-28 23:25:52 发布

翻译最新推荐文章于 2023-11-28 23:25:52 发布 · 678 阅读

文章标签：

#内存越界 #缓冲区越界 #内存溢出 #安全漏洞 #漏扫工具

漏洞检查专栏收录该内容

78 篇文章

订阅专栏

本文讨论了软件中一种常见的安全问题——缓冲区访问漏洞，特别是当索引或指针指向缓冲区之前的位置时，可能导致敏感信息泄露或发生碰撞的情况。

ID: 127

类型：变量
结构：简单

状态：草稿

描述

软件使用缓冲区访问机制（如索引或指针）从缓冲区读取数据，这些索引或指针引用目标缓冲区之前的内存位置。

扩展描述

这通常发生在指针或其索引减量到缓冲区之前的位置、指针算术在有效内存位置开始之前的位置或使用负索引时。这可能导致敏感信息暴露或可能发生碰撞。

关联视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段	说明
实现

应用平台

语言

C (出现的可能性不确定)

C++ (出现的可能性不确定)

后果

范围	冲击	可能性
保密性	技术冲击: 内存读取

种属

关系	类型	ID	名称
属于		970	SFP Secondary Cluster: Faulty Buffer Access

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

plstudio1

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题

NARUTONEPIECE的博客

01-31

661

asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题

【悟空云课堂】第四十一期：CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF)

Tianqi_Wukong的博客

04-02

986

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第四十一期：CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF) 01 什么是csrf漏洞？ CSRF跨站请求伪造，主要表现为：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是.

参与评论您还未登录，请先登录后发表或查看评论

CWE-124: Buffer Underwrite ('Buffer Underflow') （缓冲区下界之下写入）

plstudio1的博客

03-25

1888

ID: 124 类型：基础结构：简单状态：未完成描述软件使用在缓冲区起始内存地址之前的位置索引或指针进行相应位置的写入操作。扩展描述这通常发生在指针或其索引递减到缓冲区起始位置之前的位置、指针算术在有效内存位置开始之前的位置或使用负索引时。关联视图与“研究层面”视图(CWE-1000)相关与“开发层面”视...

CWE-126: Buffer Over-read（缓冲区上界之上读取）

plstudio1的博客

03-27

1683

编号: 126 摘要：变量结构：简单状态:草稿t 描述软件通过缓冲区访问机制如索引或指针等方式从缓冲区上界之外读取数据。扩展描述此弱点一般是当指针或者索引累加到一个超出边界的位置时发生；或者当指针计算结果指向合法内存区间之外时发生。它可能会导致敏感信息外泄或系统崩溃。关系与“研究层面”视图 (CWE-1000)相关 ...

5-文件I/O—read/write函数

网络安全

06-24

2058

1. 文件I/O—read函数在linux系统中最常用，基本的读写文件I/O的系统调用就是read函数和write函数。 read函数表示从fd指向的文件中读取cont个字节的数据。函数原型： #include&amp;amp;amp;amp;amp;amp;amp;amp;lt;unistd.h&amp;amp;amp;amp;amp;amp;amp;amp;gt; ssize_t read(int fd, void *buf, size_t count

java.nio.BufferUnderflowException

热门推荐

无知人生，记录点滴

12-04

6万+

完整的错误信息：Exception in thread "main" java.nio.BufferUnderflowException at java.nio.HeapByteBuffer.get(HeapByteBuffer.java:151) at com.weixiao.network.GatewayInstanceTest.main(GatewayInstanceTest.java:

Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么

06-09

1. CWE-16: Configuration，即配置问题，指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict，即解释冲突，指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...

CWE-73: External Control of File Name or Path

Pollias的博客

11-28

1213

解决Veracode的CWE-73：“外部控制文件名或路径”

【悟空云课堂】第二十六期：通过错误消息导致的信息暴露（CWE-209:Generation of Error Message Containing Sensitive Information）

Tianqi_Wukong的博客

01-20

859

【悟空云课堂】第二十六期：通过错误消息导致的信息暴露（CWE-209:Generation of Error Message Containing Sensitive Information）什么是通过错误消息导致的信息暴露缺陷？软件会生成一条错误消息，其中包含有关其环境，用户或关联数据的敏感信息。通过错误消息导致的信息暴露缺陷构成条件有哪些？敏感信息本身可能是有价值的信息（例如密码），或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建： 1、自生成的：源代码显式构造错误消息并将

Read() 和 ReadLine() 的区别-------缓冲区问题

liuzebin1195389353的专栏

08-11

1984

Read() 和 ReadLine() 的区别-------缓冲区问题最近很多人谈起为什么Read() 之后再 ReadLine()，没有获取到值。但是 ReadLine() 之后再 Read() ，却能够获取到值。【这里有缓冲区的问题】如以下代码： Console.WriteLine("请输入一个字符："); int i = C

认识CWE和CVE

manok的专栏

05-18

1万+

在源代码安全领域工作的朋友都知道CWE和CVE，但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下，供刚进入该领域人员的参考。 CWE（Common Weakness Enumeration，通用缺陷枚举）。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 CVE （Common Vulnerabilities & Exposures，常用漏洞和风险）...

缓冲区的基本使用--读入文件时缓冲区没有任何的体现

footprint01的博客

08-31

888

package com.foot.lesson03; import java.io.BufferedOutputStream; import java.io.BufferedReader; import java.io.File; import java.io.FileOutputStream; import java.io.FileReader; import java.io.IOExcept...

【WuKong悟空】关于C/C++缓冲区溢出的防范修补方法

Tianqi_Wukong的博客

03-26

1094

【WuKong悟空】C/C++检测性能及能力介绍：缓冲区溢出 > Wukong目前支持对C/C++、Java所编写的软件产品进行安全漏洞和缺陷的检测，以下对不同语言的检测性能及能力进行介绍。欢迎关注公众号“中科天齐”（id：woocoom）获取更多资讯，一起涨知识! 安全漏洞描述： 缓冲区溢出漏洞是软件安全漏洞中最高危的漏洞类型之一，并且非常普遍和常见，在各种操作系统和应用软件中广泛存...

java.nio.BufferUnderflowException 分析

abc123maxiaolong的专栏

04-28

3227

在写一个简单的Buffer的小例子的时候，抛出一个异常： Exception in thread "main" java.nio.BufferUnderflowException at java.nio.Buffer.nextGetIndex(Buffer.java:498) at java.nio.HeapByteBuffer.getChar(HeapByteBuffer.ja...

FFMpeg的码率控制

07-23

1000

mediaxyz是一位研究ffmpeg有三年的高人了，这几天一直在折腾ffmpeg中的x264，就是不知道该如何控制码率，主要是参数太多，也不知道该如何设置，在google上search了一下，这方面的介绍为0，那就找mediaxyz请教请教吧，这些可都是经验，非常宝贵！以下是与mediaxyz在QQ上聊天的记录，只有一部分，因为QQ把之前的谈话删除了，但基本上精髓都可这里了。...

CWE-805: Buffer Access with Incorrect Length Value（以不正确的长度值方位缓冲区）

plstudio1的博客

06-04

646

ID: 805 类型：基础结构：简单状态：未完成描述软件使用顺序操作来读取或写入缓冲区，但它使用的长度值不正确，导致它访问超出缓冲区界限的内存。扩展描述当长度值超过目标的大小时，可能发生缓冲区溢出。相关视图 “研究概念”视图(CWE-1000) Nature Type ...

字符读取流缓冲区-读一行的方法readLine()

blacop的博客

07-21

5224

/*字符读取流缓冲区-读一行的方法readLine() 字符读取流缓冲区: 该缓冲区提供了一个一次读一行的方法readLine()，方便与对文本数据的获取。当返回null时，表示读到文件末尾。 */ import java.io.*; class BufferedReaderDemo { public static void main(String[] args) throws IOEx