信息安全工程師案例分析當(dāng)天每日一練試題地址：www.ichunya.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.ichunya.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/9/23）在線(xiàn)測(cè)試：www.ichunya.com/exam/ExamDayAL.aspx?t1=6&day=2022/9/23

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2022/9/23）

閱讀下列說(shuō)明和圖，回答問(wèn)題1至問(wèn)題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說(shuō)明】
代碼安全漏洞往往是系統(tǒng)或者網(wǎng)絡(luò)被攻破的頭號(hào)殺手。在C語(yǔ)言程序開(kāi)發(fā)中，由于C語(yǔ)言自身語(yǔ)法的一些特性，很容易出現(xiàn)各種安全漏洞。因此，應(yīng)該在Ｃ程序開(kāi)發(fā)中充分利用現(xiàn)有開(kāi)發(fā)工具提供的各種安全編譯選項(xiàng)，減少出現(xiàn)漏洞的可能性。
【問(wèn)題1】(4分)
圖5-1給出了一段有漏洞的C語(yǔ)言代碼(注：行首數(shù)字是代碼行號(hào))，請(qǐng)問(wèn)，上述代碼存在哪種類(lèi)型的安全漏洞?該漏洞和Ｃ語(yǔ)言數(shù)組的哪一個(gè)特性有關(guān)?

【問(wèn)題2】(4分)
圖5-2給出了C程序的典型內(nèi)存布局，請(qǐng)回答如下問(wèn)題。

（1）請(qǐng)問(wèn)圖5-1的代碼中第9行的變量authenticated保存在圖5-2所示的哪個(gè)區(qū)域中？
（2）請(qǐng)問(wèn)stack的兩個(gè)典型操作是什么？
（3）在圖5-2中的stack區(qū)域保存數(shù)撕時(shí)， 其地址增長(zhǎng)方向是往高地址還是往低地址更高?
（4）對(duì)于圖5-1代碼中的第9行和第10行代碼的兩個(gè)變量，哪個(gè)變量對(duì)應(yīng)的內(nèi)存地
【問(wèn)題3】(6分)
微軟的Visual Studio提供了很多安全相關(guān)的編譯選項(xiàng)， 圖5-3給出了圖5-1中代碼相關(guān)的工程屬性頁(yè)而的截圖。請(qǐng)回答以下問(wèn)題。

(1)請(qǐng)問(wèn)圖5-3中哪項(xiàng)配置可以有效緩解上述代碼存在的安全漏洞?
(2)如果把圖5-1中第10行代碼改為char buffer[4]；圖5-3的安全編譯選項(xiàng)是否還起作用?
(3)模糊測(cè)試是否可以檢測(cè)出上述代碼的安全漏洞?
信管網(wǎng)試題答案與解析：www.ichunya.com/st/502465698.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)cnitpm12214541607：
1.緩沖區(qū)溢出， 2.heap push、pop 高地址 第九行 3.struct member alignment 不起作用 4.可以檢測(cè)

信管網(wǎng)cnitpm497670182304：
問(wèn)題一 緩沖區(qū)溢出 不檢查數(shù)組邊界 問(wèn)題二 （1）stack （2）pop push （3）高地址 （4）buffer[8] 問(wèn)題三

信管網(wǎng)小愛(ài)20220718：
問(wèn)題1：緩沖區(qū)溢出，函數(shù)不安全特性。 問(wèn)題2：（1）heap ,（2）get,int ,（3）低地址。 問(wèn)題3：（1）preprocesser （2）起作用（3）可以

信管網(wǎng)15972772855：
緩沖區(qū)（棧）溢出，不對(duì)數(shù)組越界進(jìn)行檢查＜br＞stack＜br＞入棧和出棧（posh，pop）＜br＞低地址＜br＞第九行＜br＞security check  enable security check＜br＞不起作用＜br＞可以

信管網(wǎng)cnitpm12214541607：
1.緩存區(qū)溢出，緩存區(qū) 2.heap 3.push，pop推入，彈出 4.往高地址 5.struck member 6.起作用 7.不能

信管網(wǎng)試題答案與解析：www.ichunya.com/st/502465698.html