信息安全工程師案例分析當天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/10/31）在線測試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2022/10/31

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2022/10/31）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應欄內。
【說明】
某一本地口令驗證函數（C語言環(huán)境，X86_32指令集）包含如下關鍵代碼：某用戶的口令保存在字符數組origPassword中，用戶輸入的口令保存在字符數組userPassword中，如果兩個數組中的內容相同則允許進入系統。

【問題1】（4分）
用戶在調用gets()函數時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網一只沒有智慧的＊＊：
輸入兩次與密碼長度相同的同樣的數字＜br＞調用函數不安全的設計不安全類型，清除思路有使用更安全的函數類型，加入可以提高安全性的驗證工具。

信管網cnitpm568188468388：
輸入一樣長度12的字符串可繞過，＜br＞緩沖區(qū)溢出，＜br＞強制輸入正確的代碼格式，使用編譯器邊界檢查，系統緩沖區(qū)設置不可執(zhí)行

信管網cnitpm480944425705：
輸入24個字符，其中前12個字符和后12個字符完全相同 存在緩沖區(qū)溢出漏洞 對輸入的長度進行檢測

信管網cnitpm577696232090：
問題1 答：輸入一段前12個字符和隨后12個字符相等的任意長度不小于24個字符的字符串可以繞開該登錄限制。 問題2 答：存在緩存溢出的安全隱患。 解決思路：1. 禁用沒有邊界檢查的函數 2.對代碼進行靜態(tài)分析，分析變量在內容中的變化情況。3.使用安全的工具輔助開發(fā)和審計