返回
组织级安全编码实践(汪宝传)

组织级安全编码实践(汪宝传)

ID:15196485

大小:1.34 MB

页数:20页

时间:2018-08-01

组织级安全编码实践(汪宝传)_第1页
组织级安全编码实践(汪宝传)_第2页
组织级安全编码实践(汪宝传)_第3页
组织级安全编码实践(汪宝传)_第4页
组织级安全编码实践(汪宝传)_第5页
资源描述:

《组织级安全编码实践(汪宝传)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、2014/11/27全球软件案例研究峰会组织级安全编码实践汪宝传高级工程师华为技术有限公司TOP100CASESTUDIESwww.top100summit.comOFTHEYEAR35pt目录32pt引子:一段代码的神奇之旅,认识安全编码实践:构建组织级安全编码防护体系):18pt案例:安全编码规范案例HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialPage2一段代码的奇妙之旅(1):引子40pt:R153G0B0检查用户名及密码有效性:LTMedium:ArialintcheckUserIsValid(char*use

2、rname,char*password,intpswlen){40ptintisValid=FALSE;:R153G0B0charpsw_userinput[16];黑体charpsw_sysrecord[16];intret;30pt/*检查username有效性并从系统中获取其对应的密码*/30ptret=getPasswordFromUsername(username,psw_sysrecord);黑色if(ret!=OK)returnFALSE;:LTRegular/*将输入的密码COPY到本地缓冲区*/:Arialmemcpy(psw_userinpu

3、t,password,pswlen);30pt/*检查输出的密码是否有存储的密码是否一致*/30ptif(memcmp(psw_userinput,psw_sysrecord,pswlen)==0)黑色charpassword=“12345678901234567”;{细黑体isValid=TRUE;}charpassword=“12345678901234567”;returnisValid;password[16]=1;}HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散一段代码的奇妙之旅(2):堆栈溢出40pt:R153G0

4、B0最终输出打印是什么呢?为什么?变量值:LTMediumvoidauth(char*username,char*password,intpswlen):Arial{栈空间intret;40ptret=checkUserIsValid(username,password,pswlen);:R153G0B0if(ret==FALSE)黑体{printf("r认证不通过");汇return;30pt编}30ptprintf("r认证通过");码黑色return;:}LTRegular:Arialvoidmain(){30ptcharusername[]=

5、"root";30ptcharpassword[]={1,2,3,4,5,6,7,8,9,10,11,12,13,14,黑色15,16,0x00,0x00,0x00,0x00,0xC4,0xFE,0x12,0x00,细黑体0xF4,0x11,0x40,0x00};auth(username,password,sizeof(password));}HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散一段代码的奇妙之旅(3):执行攻击40pt:R153G0B0最终输出打印是什么呢?为什么?:LTMediumvoidhacker():Ar

6、ial{printf("helloworld");40ptreturn;:R153G0B0}黑体voidmain(){30ptcharusername[]="root";30ptcharpassword[]={1,2,3,4,5,6,7,8,9,10,11,12,13,14,黑色15,16,0x00,0x00,0x00,0x00,0xC4,0xFE,0x12,0x00,:0x58,0x10,0x40,0x00};LTRegularauth(username,password,sizeof(password));:Arial}30pt30pt这种场景作何感想?黑色

7、password[]={0x68,0x1C,0x00,0x42,0x00,0xE8,0xAA,0x14,0x2d,0x00,0x83,0xC4,0x04,14,15,16,细黑体0x00,0x00,0x00,0x00,0xC4,0xFE,0x12,0x00,0x4C,0xFE,0x12,0x00};汇编码HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散一段代码的奇妙之旅(4):攻击原理40pt:R153G0B0:checkUserIsValid调用栈入栈汇编码LTMedium:Arial0x0012FE70intpswlen凼4

8、0pt0x0012FE6

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。