编码漏洞：C、C++ 和Java的安全编码？

　　对于所有类型环境中的开发人员来说，安全性正成为一个越来越重要的主题，即便过去一直认为安全性不成问题的嵌入式系统也是如此。本文将介绍几种类型的编码漏洞，指出漏洞是什么、如何降低代码被攻击的风险、如何更好地找出代码中的此类缺陷。

　　注入攻击

　　通过将信息注入正在运行的流程，攻击者可以危害进程的运行状态，以反射到开发人员无法保护的某种最终目标。例如，攻击者可能会通过堆栈溢出(stack corruption)将代码注入进程，从而执行攻击者选定的代码。此外，攻击者也可能尝试将数据注入数据库，供将来使用;或将未受保护的字符串注入数据库查询，获取比开发人员更多的信息。无论出于怎样的目的，注入总是一件坏事，总是需要谨慎对待的。

　　最恶劣的注入攻击形式也许是代码注入——将新代码置入正在运行的进程的内存空间，随后指示正在运行的进程执行这些代码。此类攻击如果成功，则几乎可以进行任何操作，因为正在运行的进程完全被劫持，可执行攻击者希望执行的任何代码。

　　此类攻击最著名的示例之一就是 Windows 动画光标攻击，这正是本文要讨论的模式。攻击者利用一个简单的 Web 页面将形式不当的动画光标文件下载到查看者的 PC 中，导致浏览器调用此动画光标，动画光标调用时可能发生任意代码的注入。实际上，这是一个完美的攻击载体：因为它不要求对被攻击机器的任何实际访问、最终用户根本意识不到任何可能发生的麻烦;此外，如果攻击效果的恶意也是适度的，则对最终用户的外部影响几乎是零。

　　考虑示例 1(a)，当然，这改写自 Windows 攻击，它构成了此类攻击载体的基础。这里的开发人员对于传入流的可靠性做出了基本的假设。信任流和并相信一切都没问题。使用基于堆栈的将被非串形化(deserialized)的类型调用函数，未知数据流和代码注入肯定会在某个时间点出现。

　　(a)

　　void LoadTypeFromStream(unsigned char* stream, SOMETYPE* typtr)

　　{

　　int len;

　　// Get the size of our type's serialized form

　　memcpy(&len, stream, sizeof(int));

　　// De-serialize the type

　　memcpy(typtr, stream + sizeof(int), len);

　　}

　　(b)

　　void foo(unsigned char* stream)

　　{

　　SOMETYPE ty;

　　LoadTypeFromStream(stream, &ty);

　　}

　　(c)

　　void LoadTypeFromStream

　　(unsigned char* stream, SOMETYPE* typtr)

　　{

　　int len;

　　// Get the size of our type's serialized form

　　memcpy(&len, stream, sizeof(int));

　　// GUARD

　　if( len < 0 || len > sizeof(SOMETYPE) )

　　throw TaintedDataException();

　　// De-serialize the type

　　memcpy(typtr, stream + sizeof(int), len);