CWE-193: Off-by-one Error

最新推荐文章于 2024-08-19 16:32:47 发布
转载 最新推荐文章于 2024-08-19 16:32:47 发布 · 675 阅读 · 0

本文详细解析了C语言中常见的缓冲区溢出错误,并通过多个实例展示了如何正确使用字符串复制和拼接函数,以及如何避免此类错误。文章包括了错误代码示例、修复建议和相关知识点,旨在帮助开发者理解和预防缓冲区溢出问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://cwe.mitre.org/data/definitions/193.html


    char pData[501]="AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
        "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
        "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
        "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"
        "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA";
    char pData2[501]="";
    CMD_GP_LogonError LogonError;
    int xx=CountArray(LogonError.szErrorDescribe);
    int x2=sizeof(pData);
    strncpy(pData2,pData,sizeof(pData));
    
    DBR_GP_LogonError * pLogonError=(DBR_GP_LogonError *)pData;
    pLogonError->szErrorDescribe[CountArray(pLogonError->szErrorDescribe)-1]=0;
    lstrcpyn(LogonError.szErrorDescribe,pLogonError->szErrorDescribe,CountArray(LogonError.szErrorDescribe));
    lstrcpyn(LogonError.szErrorDescribe,pLogonError->szErrorDescribe,sizeof(pData));
    return 0;

测试成功


Example 1

The following code allocates memory for a maximum number of widgets.It then gets a user-specified number of widgets, making sure that the userdoes not request too many. It then initializes the elements of the arrayusing InitializeWidget(). Because the number of widgets can vary for eachrequest, the code inserts a NULL pointer to signify the location of the lastwidget.

(Bad Code)
ExampleLanguage:
int i;
unsigned int numWidgets;
Widget **WidgetList;

numWidgets = GetUntrustedSizeValue();
if ((numWidgets == 0) || (numWidgets > MAX_NUM_WIDGETS)){
ExitError("Incorrect number of widgets requested!");
}
WidgetList = (Widget **)malloc(numWidgets * sizeof(Widget*));
printf("WidgetList ptr=%p\n", WidgetList);
for(i=0; i<numWidgets; i++) {
WidgetList[i] = InitializeWidget();
}
WidgetList[numWidgets] = NULL;
showWidgets(WidgetList);

However, this code contains an off-by-one calculation error. It allocates exactly enough space to contain the specified number of widgets, but it does not include the space for the NULL pointer. As a result, the allocated buffer is smaller than it is supposed to be (CWE-131). So if the user ever requests MAX_NUM_WIDGETS, there is an off-by-one buffer overflow when the NULL is assigned. Depending on the environment and compilation settings, this could cause memory corruption.

Example 2

The following C/C++ example demonstrates the Off-by-one error in themain method of a pattern matching utility that looks for a specific patternwithin a specific file. The main method uses the string copy method,strncpy, to copy the command line user input file name and pattern to theFilename and Pattern character arrays respectively.

(Bad Code)
ExampleLanguage:
int main(int argc, char **argv)
{
char Filename[256];
char Pattern[32];

/* Validate number of parameters and ensure valid content*/
...

/* copy filename parameter to variable, may causeoff-by-one overflow */
strncpy(Filename, argv[1], sizeof(Filename));

/* copy pattern parameter to variable, may cause off-by-oneoverflow */
strncpy(Pattern, argv[2], sizeof(Pattern));

printf("Searching file: %s for the pattern: %s\n", Filename,Pattern);
Scan_File(Filename, Pattern);
}

However, the calls to strncpy use the sizeof method call for the sizeparameter that does not take into account that the strncpy will add anull terminator to each character array. Therefore if a user enters afilename or pattern that are the same size as (or larger than) theirrespective character arrays a null terminator will be added beyond theend of the buffer for the character arrays creating an off-by-one bufferoverflow. In addition to creating a buffer overflow that may cause amemory address to be overwritten, if the character arrays are output tothe user through the printf method the memory addresses at the overflowlocation may be output to the user.

To fix this problem, be sure to subtract 1 from the sizeof() call toallow room for the null byte to be added.

(Good Code)
ExampleLanguage:
/* copy filename parameter to variable, no off-by-one overflow*/
strncpy(Filename, argv[2], sizeof(Filename)-1);

/* copy pattern parameter to variable, no off-by-one overflow*/
strncpy(Pattern, argv[3], sizeof(Pattern)-1);

Example 3

Similarly, this example uses the strncat and snprintf functionsincorrectly. The code does not account for the null character that is addedby the second strncat function call, one byte beyond the end of the namebuffer.

(Bad Code)
ExampleLanguage:
char lastname[20];
char firstname[20];
char name[40];
char fullname[40];

strncat(name, firstname, sizeof(name));
strncat(name, lastname, sizeof(name));
snprintf(fullname, sizeof(fullname), "%s", name);

By leaving a free byte at the end of the buffers for a null characterto be added, the off-by-one weakness is avoided.

(Good Code)
ExampleLanguage:
char lastname[20];
char firstname[20];
char name[40];
char fullname[40];

strncat(name, firstname, sizeof(name)-1);
strncat(name, lastname, sizeof(name)-1);
snprintf(fullname, sizeof(fullname)-1), "%s", name);

Example 4

The Off-by-one error can also be manifested when reading charactersfrom a character array within a for loop that has an incorrect continuationcondition.

(Bad Code)
ExampleLanguage:
#define PATH_SIZE 60

char filename[PATH_SIZE];

for(i=0; i<=PATH_SIZE; i++) {

char c = getc();
if (c == 'EOF') {
filename[i] = '\0';
}

filename[i] = getc();
}

In this case, the correct continuation condition is shownbelow.

(Good Code)
ExampleLanguage:
for(i=0; i<PATH_SIZE; i++) {
...

Example 5

As another example the Off-by-one error can occur when using thesprintf library function to copy a string variable to a formatted stringvariable and the original string variable comes from an untrusted source. Asin the following example where a local function, setFilename is used tostore the value of a filename to a database but first uses sprintf to formatthe filename. The setFilename function includes an input parameter with thename of the file that is used as the copy source in the sprintf function.The sprintf function will copy the file name to a char array of size 20 andspecifies the format of the new variable as 16 characters followed by thefile extension .dat.

(Bad Code)
ExampleLanguage:
int setFilename(char *filename) {
char name[20];
sprintf(name, "%16s.dat", filename);
int success = saveFormattedFilenameToDB(name);
return success;
}

However this will cause an Off-by-one error if the original filenameis exactly 16 characters or larger because the format of 16 characterswith the file extension is exactly 20 characters and does not take intoaccount the required null terminator that will be placed at the end ofthe string.


C语言陷阱之差一错误
qq51931373的专栏
04-26 3098
差一错误(英语:Off-by-one error,缩写OBOE)是在计数时由于边界条件判断失误导致结果多了一或少了一的错误,通常指计算机编程中循环多了一次或者少了一次的程序错误,属于逻辑错误的一种。比如,程序员在循环中进行比较的时候,本该使用“小于等于”,但却使用了“小于”,或者是程序员没有考虑到一个序列是从0而不是1开始(许多程序语言的数组下标都是这样)。在数学领域,此错误也时有发生。
CWE通用缺陷对照表记录
weixin_45513192的博客
10-14 5271
CWE通用缺陷对照表记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer
off-by-one error
Elta学习
07-03 691
今天看书有一个off-by-one error,感觉很陌生,google了一下,wiki上有一些资料。 Consider an array of items, and items m through n (inclusive) are to be processed. How many items are there? An intuitive answer may be n−m, but
off-by-one error
blrk
05-07 3688
大小差一。。 就是指某个变量的最大值和最小值可能会和正常值差1,或者循环多执行一次/少执行一次。 一般在临界情况时发生。   off-by-one,大小差一错误是一类常见的程序设计错误。这方面有一个经典的例子OpenSSH.去Google搜索关键词“OpenSSH off-by-one”可以了解相关状况。具体来说, 1. if(id channels_alloc)... 2. i
Off-by-One Error: 编码中的常见陷阱 ⚠️
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
08-02 3万+
大家好,我是默语,擅长全栈开发、运维和人工智能技术。在这篇博客中,我将深入探讨编码中的常见陷阱之一:Off-by-One 错误(OBOE)。Off-by-One 错误是在循环和数组处理时经常出现的错误,可能会导致程序崩溃或数据错误。本文将详细介绍这种错误的成因、如何识别、预防和修复的方法。希望通过这篇文章,大家能够提高代码的健壮性,避免常见的编程陷阱。Off-by-One 错误(OBOE)是指在循环或数组操作中,由于边界条件设置错误,导致多执行或少执行一次操作。这种错误通常发生在for循环或while。
基于Linux的off by one漏洞
you_need_me的博客
06-09 810
https://blog.youkuaiyun.com/nibiru_holmes/article/details/62040763
off-by-one(大小差一)错误介绍
流浪天空
03-09 8321
详细了解请移步这里 off-by-one,大小差一错误是一类常见的程序设计错误。这方面有一个经典的例子OpenSSH.去Google搜索关键词“OpenSSH off-by-one”可以了解相关状况。具体来说, 1. if(id channels_alloc)... 2. if(id = channels_alloc)... 第二句应该是正确的写法。举个更通俗的例子: int a[5]
堆溢出 off by oneoff by null
最新发布
qq_69100706的博客
08-19 433
在CTF(Capture The Flag)竞赛中,堆溢出攻击经常涉及利用软件在内存管理上的细微错误。Off-by-One和是两种常见的此类错误,它们可以被攻击者利用来控制程序的执行流程或泄露敏感信息。
Off-by-one错误
11-15 163
在迭代循环中,误用> < ≥ ≤符号,有可能导致循环次数多一次或者少一次,就会引发off-by-one错误,混用半开区间和闭区间时,也经常发生此类错误,解决方法是利用最小的输入值去测试代码的执行过程,然后再编写正式的程序代码。 转载于:https://www.cnblogs.com/aboutblank/p/6065974.html...
CWE-195: Signed to Unsigned Conversion Error(有符号到无符号转换错误)
plstudio1的博客
04-09 1670
ID: 195 类型:变量 结构:简单 状态:草稿 描述 软件使用有符号数据将其强制转换到无符号数据,如果有符号数据的值不能用无符号数据表示,则会产生意外的值 扩展描述 依赖有符号数和无符号数之间的隐式强制转换是很危险的,因为结果可能具有意外的值,并且违反了程序所做的假设。 通常,函数会返回负值来表示失败。当函数的结果用作大小参数时...
Linux (x86) Exploit 开发系列教程之十一 Off-By-One 漏洞(基于堆)
热门推荐
龙哥盟
05-03 4万+
Off-By-One 漏洞(基于堆) 译者:飞龙 原文:Off-By-One Vulnerability (Heap Based) 预备条件: Off-By-One 漏洞(基于栈) 理解 glibc malloc VM 配置:Fedora 20(x86) 什么是 Off-By-One 漏洞? 在这篇文章中提到过,将源字符串复制到目标缓冲区可能造成 Off-By-One 漏洞,当源字
代码雨代码源复制_直接复制网上代码完善模型?小心掉坑里!
weixin_39653481的博客
12-04 1263
如今,越来越多的软件开发者通过重用问答网站分享的代码片段来解决一些实际问题,如 Stack Overflow 平台就包含了大多代码来源。尽管复现源代码有助于快速原型化;然而最近的研究表明,你所用的很多共享代码片段可能质量很低,甚至包含大量漏洞!研究人员通过对 10 年内共享堆栈溢出 C++ 代码段中的安全漏洞进行深入拆解,发现在堆栈溢出中 69 个易受攻击的代码段在 GitHub 上共计 2859...
Linux下堆漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 9011
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,但是在网络上还不能找到一篇系统的介绍堆off-by-one利用的教程。在这篇文章中我列出了5种常见的堆上的off-by-one攻击方式,并且给出了测试DEMO,测试的
【pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1271
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
C程序中常见的内存操作错误
weixin_30448603的博客
07-01 177
  对C/C++程序员来说,管理和使用虚拟存储器可能是个困难的, 容易出错的任务。与存储器有关的错误属于那些令人惊恐的错误, 因为它们在时间和空间上, 经常是在距错误源一段距离之后才表现出来。 将错误的数据写到错误的位置, 你的程序可能在最终失败之前运行了好几个小时,且使程序中止的位置距离错误的位置已经很远啦。而避免这种噩梦的最好方法就是防范于未然。 幸好《深入理解计算机系统》中有一段讲...
内存泄漏和缓冲区溢出
qq_33774935的博客
08-30 1168
所谓内存泄漏(memory leak)一般是指堆内存的泄露,它是由于疏忽或错误造成程序未能释放已经不再使用的内存的情况,造成内存保持占用状态,使操作系统不能将内存分配给其他的程序(进程)。并非指内存在物理上的消失,而是程序分配某段内存之后,由于设计错误,失去了对该段内存的控制,因而造成了内存的浪费。它的一般表现方式是程序运行时间越长,占用内存越多,最终用尽全部内存,整个系统崩溃。由程序申请的一块内
off-by-one漏洞的利用
weixin_44864859的博客
07-21 1634
介绍 严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 漏洞原理 off-by-one 是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,当然也不排除写入的 size 正好就只多了一个字节的情况。其中边界验证不严通常包括 使用循环语句向堆块中写入数据时,循环的次数设置错误(这在 C 语言初学者中很常见)导致多写入了一个字节。 字符串操作不合适 一般来说,
CWE-122: Heap-based Buffer Overflow(堆缓冲区溢出)
plstudio1的博客
03-23 1475
ID: 122 类型:变量 结构:简单 状态:草稿 描述 堆溢出是缓冲区溢出的一种情形,分配到内存的堆部分的缓冲区被覆盖的,通常意味着缓冲区是使用malloc()等函数分配的内存。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入模式 阶段 ...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型不一致而导致的安全漏洞。 3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页中注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值