缓冲区缓冲区溢出教程

182入选论文2012年第08期第27次全国计算机安全学术交流会论文集高传平,赵利军,谈利群(北京图形研究所,北京100029)摘要:缓冲区溢出作为系统或程序自身存在的一种漏洞对系统或软件安全造成了潜在威胁,黑客可以轻易利用这一漏洞进行攻击,以达到控制系统或窃取秘密的目的.
据统计,利用缓冲区溢出漏洞进行的攻击已经占到了互联网攻击总数的一半以上.
文章在对缓冲区溢出原理进行分析的基础上,给出了缓冲区溢出的故障模型,并提出了基于静态分析的代码自动检测算法,为故障发现及预防奠定了基础.

关键词:缓冲区溢出;故障模型;抽象语法树;控制流图中图分类号:TP393.
08文献标识码:A文章编号:1671-1122(2012)08-0182-03TheSoftware'sSafetyTestingTechniqueStudyonBufferOverflowGAOChuan-ping,ZHAOLi-jun,TANLi-qun(BeijingGraphicInstitute,Beijing100029,China)Abstract:Asakindofleakhiddeninsoftware,bufferoverflowthreatenssoftware'ssafety.
Hackerscanattackthesoftwareinordertocontrolthesystemorstealsecretsusingthishole.
Accordingtostatistics,thiskindofleakusingbufferoverflowleakhasalreadyoccupiedmorethanhalfoftheattackoninternet.
Atfirstthisarticleanalyzesbufferoverflow'sprinciple,thengivesitsfaultmodel,atlastputsforwardcodeautomaticdetectionalgorithmbasedonstaticanalysis.
Thispaperlaysafoundationforfaultdetectionandprevention.
Keywords:bufferoverflow;faultmodel;abstractsyntaxtree;controlflowgraphdoi:10.
3969/j.
issn.
1671-1122.
2012.
08.
054缓冲区溢出的软件安全性测试技术研究收稿时间:2012-07-12作者简介:高传平(1977-),男,山东,工程师,博士,主要研究方向:软件测试及可靠性;赵利军(1954-),男,北京,高级工程师,主要研究方向:计算机应用;谈利群(1957-),男,湖北,高级工程师,主要研究方向:软件测试.
0引言在计算机和网络广泛普及和发展的今天,信息和网络安全正日益成为计算机用户关心和关注的焦点.
如何有效预防和避免黑客攻击,确保网络安全和信息保密,正在成为专家学者争相研究的焦点和话题,也正逐渐成为网络建设的核心和关键问题.