SV.UNBOUND_STRING_INPUT.CIN

因无边界的字符串输入而导致缓冲区溢出

字符串复制函数用于将一串字符复制到内存缓冲区。strcpy 函数没有参数来限制写入数据的大小,因此可能导致缓冲区溢出。

SV.UNBOUND_STRING_INPUT.CIN 检查器会查找那些调用了并未指定缓冲区大小的字符串复制函数(可能是 getwd(),也可能是使用 C++ 输入的函数)的代码。

漏洞与风险

如果字符串复制函数在调用时没有大小参数,将可能导致缓冲区溢出错误。这可能导致应用程序不稳定、精心设计的攻击、代码注入或其他漏洞。

缓解与预防

要避免该漏洞,请确保您使用的函数具有缓冲区大小作为输入参数,或者使用类似于 strlen() 这样的函数来确定您需要的缓冲区大小。

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。