阅读下列说明和图，回答问题，将解答填入答题纸的对应栏内。【说明】代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中，由于C语言自身语法的一些特性，很容易出现各种安全漏洞。因此，应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项

admin2021-02-03 108

问题阅读下列说明和图，回答问题，将解答填入答题纸的对应栏内。
【说明】
代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中，由于C语言自身语法的一些特性，很容易出现各种安全漏洞。因此，应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项，减少出现漏洞的可能性。
微软的Visual Studio提供了很多安全相关的编译选项，图5-3给出了图5-1中代码相关的工程属性页面的截图。请回答以下问题。

(1)请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?
(2)如果把图5-1中第10行代码改为char buffer[4]；图5-3的安全编译选项是否还起作用?
(3)模糊测试是否可以检测出上述代码的安全漏洞?

选项

答案(1)Enable Security Check(／GS) (2)不起作用 (3)可以检测出漏洞

解析微软的Visual Studio编译器提供了很多的安全编译选项，可以对代码进行安全编译，例如图中．Enable Security Check(／GS)可以在栈中添加特殊值，使得一旦被覆盖就会导致异常，从而增加漏洞利用难度。该编译选项针对小于等于4个字节的数组不起保护作用。模糊测试通过发送不同长度的数据给buffer，可能导致覆盖后续变量和指针值，导致程序异常从而触发监测，因此采用模糊测试的方法是可以检测出此类漏洞的。

转载请注明原文地址:https://kaotiyun.com/show/wG0D777K

本试题收录于：信息安全工程师下午应用技术考试题库软考中级分类

信息安全工程师下午应用技术考试

软考中级

相关试题推荐

随机试题

最新回复(0)

信息安全工程师下午应用技术考试

软考中级

设有编号为1，2，3，4，5的五个球和编号为1，2，3，4，5的五个盒子，现将这五个球投入五个盒子内，每个盒子放一个球，并且恰好有两个球的编号与盒子的编号相同，则这样的投放方法有()。

在某项体育比赛中评委给一位同学打出的分数为：90，89，90，95，93，94，93，去掉一个最高分和一个最低分后，所剩数据的平均值和方差分别为()。

Mostmalesintheanimalkingdomdolittleparenting.Sometimes,though,parentalinvestmentbyamalepaysoff.Songbirdchicks

Whatyouhavedoneis______thedoctor’sorders.

为了确保CTV实际得到处方剂量的照射，需要定义的靶区是

()是指为了保证项目正常经营所发生的成本，是项目财务分析特有的称谓，用于建设项目现金流量分析。

在某打桩工程施工中,工程师采用()进行工程量的计量。

“在你开口以前，你已经把什么都说了。”领导者的形象作为“静默语”，不知不觉中向周围的人发出各种信息。这句话说明()。

商品关系P(商品名，条形码，产地，价格)中的(1)属性可以作为该关系的主键。查询由“北京”生产的185升电冰箱的SQL语句应该是：SELECT商品名，产地FROMPWHERE产地=’北京’AND(2)；将价

Thedoctorinformedhispatientthatthedrugwasvery_____andcanhaveunpleasantsideeffects.