什么是污点漏洞?
脏数据,没净化(污点源):
用户输入、直接复制的链接、手机APP传入的参数(我觉得恶意广告跳转就是用了这个),这些数据没有经过检查,比如我要float类型的输入,但给的是int类型输入,没经过数据转换,会导致bug;再比如,我要一个四位数据,但输入是一个八位数据,那要是直接把多的四位丢掉,也会报错。总之,输入数据没经过检查,不一定符合要求,可能导致bug
敏感操作(污点汇):
比如,用输入的数字当数组的索引,可能导致索引和数组元素个数不匹配,索引数字大于元素个数;再比如进行算数运算的时候发生溢出
举例:
1、根据用户输入的索引,打印数组里的内容
cpp
int arr[5] = {1,2,3,4,5};
int index;
scanf("%d", &index); // 用户输入index(污点源)
printf("%d", arr[index]); // 直接用index访问数组(污点汇)输入的&index不是[0,4]之间的整数,就会报错。
用户的输入是没经过检查的脏数据
要经过净化,确保在合规范围内才可以
改正:
cpp
int arr[5] = {1,2,3,4,5};
int index;
scanf("%d", &index); // 接收用户输入(污点源)
// 关键修复:检查index是否合法(给数据"洗澡")
if (index < 0 || index >= 5) {
printf("输入错误!索引必须在0~4之间");
return 1; // 直接退出,不执行后续危险操作
}
printf("%d", arr[index]); // 确认安全后,再访问数组(污点汇)更通用的"净化逻辑":
实际开发中,还可以根据场景增加更严格的检查,比如:
限制输入类型:确保用户输入的是数字(而非字母或符号)。
动态获取数组长度 :用sizeof(arr)/sizeof(arr[0])代替硬编码的5,避免数组大小变化时漏改检查条件。
cpp
// 更健壮的版本
int arr[5] = {1,2,3,4,5};
int index, arr_size = sizeof(arr)/sizeof(arr[0]); // 动态获取数组长度
if (scanf("%d", &index) != 1) { // 检查输入是否为有效数字
printf("输入错误!请输入整数");
return 1;
}
if (index < 0 || index >= arr_size) { // 用动态长度判断
printf("输入错误!索引必须在0~%d之间", arr_size-1);
return 1;
}
printf("%d", arr[index]);2、给num设一个天花板
cpp
int clamp_num(int config, int num ){ // 函数:限制数字num的最大值
if (config && num > ARR_SIZE) // 如果"开关打开"且"num超过天花板"
num = ARR_SIZE; // 就把num强行改成"天花板"的值
return num ; // 返回限制后的num
}config是开关,num必须满足num <= ARR_SIZE
3、用户输入直接复制到固定大小缓冲区,未检查长度
cpp
#include <stdio.h>
#include <string.h>
void vulnerable_function() {
char buffer[10]; // 固定大小缓冲区(10字节)
char user_input[100]; // 污点变量:存储用户输入(不可信源)
printf("请输入姓名:");
scanf("%s", user_input); // 1. 污点源:用户输入(未限制长度)
// 2. 未净化:直接将污点变量复制到缓冲区,未检查长度
strcpy(buffer, user_input); // 危险操作:无长度限制的复制
printf("欢迎:%s\n", buffer);
}
int main() {
vulnerable_function();
return 0;
}修复:
cpp
// 安全版本:限制输入长度,避免溢出
void safe_function() {
char buffer[10];
char user_input[100];
printf("请输入姓名:");
scanf("%9s", user_input); // 限制输入长度为9字节(留1字节给字符串结束符'\0')
strncpy(buffer, user_input, sizeof(buffer)-1); // 用 strncpy 限制复制长度
buffer[sizeof(buffer)-1] = '\0'; // 确保字符串结束符
printf("欢迎:%s\n", buffer);
}怎么判断是不是污点变量?
1、用户输入
cpp
// 例:用户输入的字符串(污点变量)
char user_input[100];
scanf("%s", user_input); // 通过 scanf 接收用户输入 → user_input 为污点变量2、外部系统输入
cpp
// 例:从网络读取的数据(污点变量)
char* network_data = recv_from_socket(sock); // 网络接收的数据 → network_data 为污点变量3、且没经过净化
cpp
char user_input[100];
scanf("%s", user_input); // 污点源:用户输入
char* data = user_input; // 直接赋值,未净化 → data 仍为污点变量净化后------不是:(AI给的)
cpp
char user_input[100];
scanf("%s", user_input); // 污点源:用户输入
// 净化处理:验证输入是否为纯数字(仅保留安全字符)
if (is_all_digits(user_input)) { // 假设 is_all_digits 检查字符串是否仅含 0-9
int num = atoi(user_input); // 转换为整数(净化后)→ num 不再是污点变量
}