सुरक्षा परीक्षण - बफर ओवरफ्लो

एक बफर ओवरफ्लो तब उत्पन्न होता है जब कोई प्रोग्राम एक अस्थायी डेटा स्टोरेज एरिया (बफर) में अधिक डेटा स्टोर करने की कोशिश करता है, जितना कि इसे रखने का इरादा था। चूंकि बफ़र्स को डेटा की एक सीमित मात्रा में बनाने के लिए बनाया गया है, अतिरिक्त जानकारी आसन्न बफ़र्स में ओवरफ्लो हो सकती है, इस प्रकार उन में मौजूद वैध डेटा को दूषित कर सकती है।

उदाहरण

यहाँ बफर अतिप्रवाह का एक उत्कृष्ट उदाहरण है। यह एक साधारण बफर अतिप्रवाह को दर्शाता है जो पहले परिदृश्य के कारण होता है जिसमें बाहरी डेटा पर निर्भर करता है ताकि उसके व्यवहार को नियंत्रित किया जा सके। उपयोगकर्ता द्वारा दर्ज किए गए डेटा की मात्रा को सीमित करने का कोई तरीका नहीं है और कार्यक्रम का व्यवहार इस बात पर निर्भर करता है कि उपयोगकर्ता ने कितने पात्रों को अंदर रखा है।

...
   char bufr[BUFSIZE]; 
   gets(bufr);
   ...

व्यावहारिक व क्रियाशील

Step 1- इंटरनेट एक्सेस पाने के लिए हमें नाम और कमरे के नंबर के साथ लॉगिन करना होगा। यहाँ परिदृश्य स्नैपशॉट है।

Step 2 - हम नीचे दिखाए गए अनुसार बर्प स्वीट में "अनहाइड हिडन फॉर्म फील्ड्स" भी सक्षम करेंगे -

Step 3- अब हम नाम और कमरा नंबर क्षेत्र में एक इनपुट भेजते हैं। हम कोशिश भी करते हैं और रूम नंबर फ़ील्ड में एक बहुत बड़ी संख्या इंजेक्ट करते हैं।

Step 4- छिपे हुए फ़ील्ड नीचे दिखाए गए अनुसार दिखाए गए हैं। हम शर्तें स्वीकार करते हैं।

Step 5 - हमला सफल है जैसे कि बफर अतिप्रवाह के परिणामस्वरूप, यह आसन्न मेमोरी स्थानों को पढ़ना शुरू कर दिया और नीचे दिखाए गए अनुसार उपयोगकर्ता को प्रदर्शित किया गया।

Step 6- अब हमें प्रदर्शित डेटा का उपयोग करके लॉगिन करें। लॉग करने के बाद, निम्न संदेश प्रदर्शित होता है -

निवारक तंत्र

  • कोड की समीक्षा
  • डेवलपर प्रशिक्षण
  • संकलक उपकरण
  • सुरक्षित कार्यों का विकास करना
  • समय-समय पर स्कैनिंग