2. 计算机
  3. 阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对应栏内。 【说明】 在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活。这种每隔固定时间发一次的数据包也称为心跳

阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对应栏内。 【说明】 在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活。这种每隔固定时间发一次的数据包也称为心跳

admin2020-04-30  50
问题 阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对应栏内。
【说明】
    在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活。这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。
    某系统采用的请求和应答两种类型的心跳包格式如图4—1所示。

    心跳包类型占1个宁节,主要是请求和响应两种类型:心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。
    接收端收到该心跳包后的处理函数是process—heartbeat(),其中参数P指向心跳包的报文数据,S是对应客户端的socket网络通信套接字。
    void process_heartbeat(unsigned char *P,SOCKET s)
    {
    unsigned short hbtype;
    unsigned int payload;
    hbtype= *p++;  //心跳包类型
    n2s(p,payload); //心跳包数据长度
    pl=P;  //pl指向心跳包数据
    if(hbtype==HB_REQUEST){
    unsigned char *buffer, *bp;
    buffer=malloc(1 + 2 + payload);
    bp=buffer; //bp指向刚分配的内存
    *bp++=HB RESPONSE;  //填充1 byte的心跳包类型
    s2n(payload,bp);  //填充2 bytes的数据长度
    memcpy(bp,pl,payload);
    /*将构造好的心跳响应包通过socket s返回给客户端*/
    r=wrlte_bytes(s,  buffer,  3  +payload);
    }
    }
     模糊测试技术能否测试出上述代码存在的安全漏洞,为什么?
选项
答案不能。 因为不会产生异常,模糊测试器就无法监视到异常,从而无法检测到该漏洞。
解析     上述代码存在的信息泄露漏洞在模糊测试过程中,不管用什么样的数据包长度去测试,被测代码都是正常运行,没有出现异常情况,因此也就无法判断是否有漏洞,所以模糊测试无法测试出该代码存在的漏洞。
转载请注明原文地址:https://kaotiyun.com/show/8uTZ777K
本试题收录于: 信息安全工程师下午应用技术考试题库软考中级分类
0

信息安全工程师下午应用技术考试

软考中级

相关试题推荐
随机试题
最新回复(0)