【C语言实战(65)】C语言实战：筑牢防线，攻克缓冲区溢出难题

目录

• 一、引言
• 二、缓冲区溢出原理与危害
• • [2.1 缓冲区溢出定义](#2.1 缓冲区溢出定义)
  • [2.2 危害](#2.2 危害)
  • [2.3 示例](#2.3 示例)
• 三、缓冲区溢出防护技巧
• • [3.1 使用安全的字符串函数](#3.1 使用安全的字符串函数)
  • • [3.1.1 函数替换](#3.1.1 函数替换)
    • [3.1.2 实战](#3.1.2 实战)
  • [3.2 输入长度校验](#3.2 输入长度校验)
  • • [3.2.1 校验原理](#3.2.1 校验原理)
    • [3.2.2 实战](#3.2.2 实战)
  • [3.3 编译器防护选项](#3.3 编译器防护选项)
  • • [3.3.1 -fstack - protector 选项](#3.3.1 -fstack - protector 选项)
    • [3.3.2 结果对比](#3.3.2 结果对比)
• 四、实战案例：修复缓冲区溢出漏洞
• • [4.1 分析存在漏洞的代码](#4.1 分析存在漏洞的代码)
  • [4.2 应用防护技巧](#4.2 应用防护技巧)
  • [4.3 测试](#4.3 测试)
• 五、总结

---

一、引言

C 语言作为编程领域的经典语言，凭借其高效性、灵活性以及对硬件的直接控制能力，在操作系统开发、嵌入式系统、驱动程序编写等众多关键领域占据着不可替代的地位。从 Windows、Linux 等操作系统内核，到各类智能设备中的嵌入式软件，C 语言的身影无处不在，是构建现代计算机系统的重要基石。

然而，C 语言的强大能力也伴随着一定的风险。由于 C 语言对程序员的约束相对较少，在内存管理、数据操作等方面给予了开发者极大的自由度，这就使得编写安全可靠的 C 语言代码变得尤为重要。不安全的编码实践可能会引入各种安全漏洞，其中缓冲区溢出漏洞是最为常见且危险的一类。缓冲区溢出不仅可能导致程序崩溃，影响系统的正常运行，更严重的是，它可能被恶意攻击者利用，执行任意恶意代码，从而获取系统的控制权，造成数据泄露、系统瘫痪等严重后果，对个人隐私、企业安全乃至国家安全构成巨大威胁。因此，掌握 C 语言安全编码实战技巧，特别是有效防护缓冲区溢出，是每一位 C 语言开发者必备的技能。

二、缓冲区溢出原理与危害

2.1 缓冲区溢出定义

在 C 语言编程中，缓冲区是用于存储数据的一段连续内存空间 ，其大小在创建时就已确定。当程序尝试向这样固定大小的缓冲区写入数据时，如果写入的数据量超过了缓冲区的容量，就会发生缓冲区溢出。这就好比将一个过大的物品强行塞进一个尺寸不够的盒子，物品会超出盒子的边界，从而破坏周围的环境。在内存中，溢出的数据会覆盖相邻的内存区域，这些区域可能存储着其他重要的数据、变量、函数的返回地址或者程序的执行指令等。例如，在一个函数中定义了一个大小为 10 个字符的字符数组作为缓冲区，当使用字符串复制函数将一个长度超过 10 个字符的字符串复制到这个数组中时，就会导致缓冲区溢出，超出的字符会覆盖数组后面相邻的内存空间。

2.2 危害

缓冲区溢出所带来的危害是极其严重的，可能会对程序的正常运行和系统安全造成巨大的威胁。

• 程序崩溃：当溢出的数据覆盖了程序运行时必须的关键数据，如函数返回地址、栈帧信息等，程序就无法按照正常的流程继续执行。函数返回地址被覆盖后，函数在返回时会跳转到一个错误的地址，这通常会导致程序产生段错误（Segmentation Fault），进而崩溃退出。这不仅会中断正在进行的任务，还可能导致未保存的数据丢失，给用户带来极大的不便。在一些实时性要求较高的系统中，如航空航天控制系统、医疗设备控制系统等，程序崩溃可能会引发灾难性的后果。
• 恶意代码执行：这是缓冲区溢出最为危险的危害之一。恶意攻击者可以精心构造恶意数据，利用缓冲区溢出来修改程序的执行流程，使程序跳转到攻击者预先植入的恶意代码处执行。攻击者可以获取系统的管理员权限，从而对系统进行任意操作，如窃取敏感数据（如用户账号、密码、信用卡信息等）、篡改系统文件、植入后门程序以便长期控制目标系统等。在 2001 年爆发的 Code Red 蠕虫病毒，就是利用了微软 IIS 服务器中的缓冲区溢出漏洞，在短时间内感染了大量的服务器，造成了巨大的经济损失和网络安全危机。

2.3 示例

下面通过一段具体的代码示例来直观地展示缓冲区溢出的问题：

#include <stdio.h>
#include <string.h>

int main() {
    char buf[10];  // 创建一个大小为10的字符数组缓冲区
    strcpy(buf, "123456789012345");  // 将一个长度为15的字符串复制到buf中
    printf("buf: %s\n", buf);
    return 0;
}

在上述代码中，buf数组的大小为 10，而要复制进去的字符串 "123456789012345" 长度为 15（包括字符串结束符'\0'）。当执行strcpy(buf, "123456789012345"); 时，strcpy函数不会检查目标缓冲区buf的大小是否足够容纳源字符串，会直接将源字符串全部复制过去，这就导致了缓冲区溢出，超出的字符会覆盖buf数组后面相邻的内存空间，可能会破坏其他重要数据或程序的正常执行逻辑 ，如果这段代码在一个更复杂的程序环境中，极有可能引发不可预测的错误和安全风险。

三、缓冲区溢出防护技巧

3.1 使用安全的字符串函数

3.1.1 函数替换

在 C 语言中，许多传统的字符串操作函数，如strcpy、strcat和sprintf等，由于缺乏对目标缓冲区大小的检查，容易导致缓冲区溢出问题 。为了有效避免这类风险，我们可以使用它们的安全版本，即strncpy、strncat和snprintf。

strncpy函数的原型为char *strncpy(char *dest, const char *src, size_t n); ，它会将源字符串src中最多n个字符复制到目标字符串dest中。与strcpy不同的是，strncpy不会在目标字符串末尾自动添加字符串结束符'\0'，因此需要手动确保目标字符串以'\0'结尾 ，以保证其作为字符串的完整性。如果源字符串的长度小于n，strncpy会在复制完源字符串后，用'\0'填充目标字符串剩余的空间；如果源字符串长度大于或等于n，则只会复制n个字符，从而防止了缓冲区溢出的发生。

strncat函数用于将源字符串src追加到目标字符串dest的末尾，其原型为char *strncat(char *dest, const char *src, size_t n); 。它最多追加n个字符到dest中，并且会在追加完成后自动在dest末尾添加'\0'。这样就避免了像strcat那样，由于不检查目标缓冲区剩余空间而导致的缓冲区溢出问题。

snprintf函数则是sprintf的安全版本，其原型为int snprintf(char *str, size_t size, const char *format, ...); 。它会将格式化的数据输出到字符数组str中，最多输出size - 1个字符（预留一个位置给'\0'），从而防止了因格式化数据过长而导致的缓冲区溢出。如果输出的字符数（不包括'\0'）小于size，snprintf返回实际输出的字符数；如果输出的字符数（不包括'\0'）大于或等于size，则返回一个负值，并且str中的内容是不确定的，但不会发生缓冲区溢出。

3.1.2 实战

以下是一个将之前存在缓冲区溢出问题的代码，使用strncpy进行修复的示例：

#include <stdio.h>
#include <string.h>

int main() {
    char buf[10];
    // 使用strncpy代替strcpy，并确保添加字符串结束符
    strncpy(buf, "123456789012345", sizeof(buf) - 1);
    buf[sizeof(buf) - 1] = '\0';
    printf("buf: %s\n", buf);
    return 0;
}

在这段修复后的代码中，strncpy(buf, "123456789012345", sizeof(buf) - 1); 这行代码明确指定了最多复制sizeof(buf) - 1个字符到buf中，从而避免了缓冲区溢出。随后，手动添加buf[sizeof(buf) - 1] = '\0'; 确保了buf以'\0'结尾，使其成为一个合法的字符串。通过这样的修改，代码在处理字符串复制时变得更加安全可靠，大大降低了因缓冲区溢出而导致的程序错误和安全风险。

3.2 输入长度校验

3.2.1 校验原理

在接收用户输入时，进行输入长度校验是一种简单而有效的防止缓冲区溢出的方法。其核心原理是在数据被写入缓冲区之前，先检查输入数据的长度是否超过了目标缓冲区的容量。如果输入长度超过了缓冲区能够容纳的范围，程序可以采取相应的措施，如提示用户输入错误、截断输入数据或者拒绝接受输入等，从而避免因输入数据过长而导致的缓冲区溢出问题。这种预防性的检查机制能够在数据进入程序的关键处理环节之前，就将潜在的风险排除掉，确保程序在处理用户输入时的稳定性和安全性。

3.2.2 实战

以学生成绩管理系统中的学号输入功能为例，假设学号最大长度为 10 位。以下是添加了输入长度校验的代码示例：

#include <stdio.h>
#include <string.h>

#define MAX_ID_LENGTH 10

int main() {
    char student_id[MAX_ID_LENGTH + 1];// +1 用于存储字符串结束符 '\0'
    printf("请输入学号: ");
    fgets(student_id, sizeof(student_id), stdin);
    // 移除fgets读取的换行符
    student_id[strcspn(student_id, "\n")] = '\0';
    if (strlen(student_id) > MAX_ID_LENGTH) {
        printf("错误: 学号长度超过限制，请重新输入。\n");
        return 1;
    }
    // 此处可继续进行学号相关的其他处理，如存储到数据库等
    printf("输入的学号是: %s\n", student_id);
    return 0;
}

在上述代码中，首先定义了一个宏MAX_ID_LENGTH来表示学号的最大长度为 10 。使用fgets函数读取用户输入的学号，它会将输入的字符串连同换行符一起读取到student_id数组中 。然后通过strcspn函数找到换行符的位置，并将其替换为'\0'，以移除换行符。接着，使用strlen函数检查输入学号的长度，如果长度超过了MAX_ID_LENGTH，则输出错误提示信息并返回错误代码 1 ，表示输入不合法；如果长度在限制范围内，则可以继续进行后续的学号处理操作，并输出正确的提示信息 。通过这样的输入长度校验机制，有效地保证了学号输入功能的安全性和稳定性，避免了因用户输入过长学号而导致的缓冲区溢出问题。

3.3 编译器防护选项

3.3.1 -fstack - protector 选项

gcc编译器提供了-fstack-protector选项，用于启用栈保护机制。该机制通过在函数的栈帧中插入一个特殊的 "金丝雀值"（Stack Canaries）来检测栈溢出。当函数被调用时，这个金丝雀值会被放置在栈帧中，位于局部变量和函数返回地址之间 。在函数返回之前，编译器会自动插入代码来检查这个金丝雀值是否被修改。如果检测到金丝雀值被篡改，说明可能发生了栈溢出，因为正常情况下，栈溢出会覆盖栈帧中的数据，包括金丝雀值。一旦检测到栈溢出，程序会立即终止，从而防止攻击者利用栈溢出来执行恶意代码，有效地增强了程序的安全性。

3.3.2 结果对比

为了更直观地展示-fstack-protector选项的作用，我们来看下面两个示例：

关闭栈保护选项（-fno-stack-protector）时的代码及运行结果：

// vulnerable.c
#include <stdio.h>
#include <string.h>

void vulnerable_function() {
    char buffer[10];
    strcpy(buffer, "123456789012345");// 故意引发缓冲区溢出
}

int main() {
    vulnerable_function();
    return 0;
}

编译并运行上述代码：

gcc -fno-stack-protector -o vulnerable vulnerable.c
./vulnerable

运行结果通常会导致程序崩溃，并输出类似 "Segmentation fault (core dumped)" 的错误信息，这是因为缓冲区溢出覆盖了栈中的重要数据，导致程序执行错误。

开启栈保护选项（-fstack-protector）时的代码及运行结果：

// protected.c
#include <stdio.h>
#include <string.h>

void protected_function() {
    char buffer[10];
    strcpy(buffer, "123456789012345");// 故意引发缓冲区溢出
}

int main() {
    protected_function();
    return 0;
}

编译并运行上述代码：

gcc -fstack-protector -o protected protected.c
./protected

运行结果会显示程序被终止，并且输出类似 "stack smashing detected ***: terminated" 的信息，这表明栈保护机制检测到了栈溢出，并及时终止了程序，防止了可能的恶意代码执行，有效地保护了程序的安全性和稳定性。通过对比这两个结果，可以清楚地看到-fstack-protector选项在防范缓冲区溢出方面的重要作用。

四、实战案例：修复缓冲区溢出漏洞

4.1 分析存在漏洞的代码

考虑一个简单的密码输入功能的代码示例：

#include <stdio.h>

int main() {
    char password[20];
    printf("请输入密码: ");
    gets(password);  // 使用gets函数读取用户输入的密码
    // 此处假设密码验证逻辑，实际应用中会更复杂
    if (strcmp(password, "correct_password") == 0) {
        printf("密码正确，欢迎进入系统！\n");
    } else {
        printf("密码错误，请重试。\n");
    }
    return 0;
}

在这段代码中，使用gets函数读取用户输入的密码是极其危险的。gets函数会一直读取用户输入，直到遇到换行符为止，并且它不会检查目标缓冲区password的大小 。如果用户输入的密码长度超过 20 个字符（包括字符串结束符'\0'），就会发生缓冲区溢出，溢出的数据会覆盖password数组后面相邻的内存空间，这可能导致程序崩溃，更严重的是，恶意攻击者可以利用这个漏洞，精心构造输入数据，修改程序的执行流程，从而获取系统的控制权，执行任意恶意代码，如窃取敏感信息、篡改系统文件等，造成严重的安全后果。

4.2 应用防护技巧

为了修复上述代码中的缓冲区溢出漏洞，我们可以使用fgets函数（指定长度）并结合输入校验来替代gets函数 。以下是修改后的代码：

#include <stdio.h>
#include <string.h>

#define MAX_PASSWORD_LENGTH 20

int main() {
    char password[MAX_PASSWORD_LENGTH + 1];// +1 用于存储字符串结束符 '\0'
    printf("请输入密码: ");
    fgets(password, sizeof(password), stdin);
    // 移除fgets读取的换行符
    password[strcspn(password, "\n")] = '\0';
    // 输入校验
    if (strlen(password) > MAX_PASSWORD_LENGTH) {
        printf("错误: 输入的密码长度超过限制，请重新输入。\n");
        return 1;
    }
    // 此处假设密码验证逻辑，实际应用中会更复杂
    if (strcmp(password, "correct_password") == 0) {
        printf("密码正确，欢迎进入系统！\n");
    } else {
        printf("密码错误，请重试。\n");
    }
    return 0;
}

在新的代码中，使用fgets(password, sizeof(password), stdin); 来读取用户输入的密码，fgets函数最多只会读取sizeof(password) - 1个字符，从而避免了缓冲区溢出的风险。读取完成后，通过password[strcspn(password, "\n")] = '\0'; 移除fgets函数读取到的换行符 。接着，使用strlen函数进行输入长度校验，如果输入的密码长度超过了MAX_PASSWORD_LENGTH，则提示用户输入错误并返回错误代码 1 ，确保了程序在处理用户输入时的安全性和稳定性，有效防止了因缓冲区溢出而导致的安全漏洞。

4.3 测试

为了验证修改后的程序是否能够正常处理超长数据，我们进行如下测试：

输入一个长度超过 20 个字符的密码，如 "123456789012345678901" ，运行修改后的程序，输出结果为："错误：输入的密码长度超过限制，请重新输入。" ，这表明程序能够正确检测到输入长度超过限制的情况，并给出相应的错误提示，没有发生缓冲区溢出，也没有导致程序崩溃。

再输入正确长度范围内的密码，如 "correct_password" ，程序输出："密码正确，欢迎进入系统！" ，说明程序在正常情况下能够正确处理用户输入，实现了密码验证的功能。

通过上述测试，可以证明修改后的程序在处理用户输入的密码时，能够有效防止缓冲区溢出，并且能够正确处理各种输入情况，确保了程序的安全性和稳定性。

五、总结

缓冲区溢出作为 C 语言编程中一个极具威胁性的安全隐患，其危害不容小觑。它不仅可能使程序意外崩溃，导致服务中断，影响用户体验和业务连续性，更严重的是，会为恶意攻击者打开方便之门，使其能够执行恶意代码，窃取敏感信息、篡改系统数据，甚至完全控制目标系统，给个人、企业和社会带来巨大的损失。

通过深入理解缓冲区溢出的原理，掌握如使用安全字符串函数、严格输入长度校验以及合理运用编译器防护选项等一系列有效的防护技巧，并将这些技巧应用到实际的代码编写和漏洞修复中，我们能够显著提升 C 语言程序的安全性和稳定性。在实际项目开发中，每一位开发者都应将安全编码理念融入到每一行代码中，养成良好的编程习惯，严格遵循安全规范。同时，持续学习和关注最新的安全技术和漏洞信息，不断提升自己的安全意识和防范能力，才能在日益复杂的网络环境中，有效地抵御缓冲区溢出等安全威胁，确保系统的安全可靠运行，为构建安全的数字世界贡献自己的力量。