Check for proper integer handling in back c code

Was bedeutet Check for proper integer handling in back c code?

Ein Ganzzahl├╝berlauf oder -umbruch tritt auf, wenn ein Ganzzahlwert auf einen Wert erh├Âht wird, der zu gro├č ist, um ihn in der zugeh├Ârigen Darstellung zu speichern. In diesem Fall wird der Wert m├Âglicherweise zu einem sehr kleinen oder negativen Wert umgebrochen. Dies kann zwar beabsichtigtes Verhalten in Umst├Ąnden sein, die sich auf das Umwickeln beziehen, kann jedoch bei unerwartetem Umbruch Auswirkungen auf die Sicherheit haben. Dies ist insbesondere der Fall, wenn der Integer-├ťberlauf ├╝ber vom Benutzer eingegebene Eingaben ausgel├Âst werden kann. Dies ist sicherheitskritisch, wenn das Ergebnis dazu verwendet wird, das Looping zu steuern, eine Sicherheitsentscheidung zu treffen oder den Versatz oder die Gr├Â├če von Verhaltensweisen wie Speicherzuweisung, Kopieren, Verketten usw. zu bestimmen.

Dieser Scanner sucht im erhobenen Code nach Indikatoren f├╝r Ganzzahl├╝berl├Ąufe, die zum Absturz des Webservers f├╝hren. Dies geschieht, indem mehrere Ganzzahlfolgen ausgegeben werden, die dazu dienen schlechte Antworten anzuregen.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Verwenden Sie eine ├╝berpr├╝fte Bibliothek oder ein Framework, das das Auftreten dieser Schwachstelle nicht zul├Ąsst, oder Konstrukte enthalten, durch die diese leichter zu vermeiden ist.
Verwenden Sie Bibliotheken oder Frameworks, die den Umgang mit Zahlen ohne unerwartete Folgen erleichtern.
Verstehen Sie die zugrunde liegende Darstellung der Programmiersprache und ihre Interaktion mit der numerischen Berechnung. Achten Sie genau auf Abweichungen der Byte-Gr├Â├če, Genauigkeit, vorzeichenbehaftete/vorzeichenlose Unterscheidungen, Abschneiden, Konvertieren und Umwandeln zwischen Typen, “Nicht-Zahl”-Berechnungen und wie die Sprache Zahlen behandelt, die zu gro├č oder zu klein f├╝r die zugrunde liegende Darstellung sind.
Stellen Sie f├╝r alle Sicherheitspr├╝fungen, die auf der Clientseite durchgef├╝hrt werden, sicher, dass diese ├ťberpr├╝fungen auf der Serverseite doppelt vorhanden sind. Angreifer k├Ânnen die clientseitigen Pr├╝fungen umgehen, indem sie die Werte ├Ąndern, nachdem die Pr├╝fungen durchgef├╝hrt wurden, oder indem der Client so ge├Ąndert wird, dass die clientseitigen Pr├╝fungen vollst├Ąndig entfernt werden. Diese ge├Ąnderten Werte werden dann an den Server ├╝bermittelt.
Untersuchen Sie die Warnungen des Compilers genau und beseitigen Sie Probleme mit potenziellen Auswirkungen auf die Sicherheit, z. B. signierte/nicht signierte Nicht├╝bereinstimmungen bei Speicheroperationen oder die Verwendung nicht initialisierter Variablen. Selbst wenn die Schw├Ąche selten ausnutzbar ist, kann ein einzelner Fehler zum Kompromiss des gesamten Systems f├╝hren.

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/190.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte