信息安全工程師案例分析當(dāng)天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/10/31）在線測試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2020/10/31

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/10/31）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應(yīng)欄內(nèi)。
【說明】
某一本地口令驗(yàn)證函數(shù)（C語言環(huán)境，X86_32指令集）包含如下關(guān)鍵代碼：某用戶的口令保存在字符數(shù)組origPassword中，用戶輸入的口令保存在字符數(shù)組userPassword中，如果兩個數(shù)組中的內(nèi)容相同則允許進(jìn)入系統(tǒng)。

【問題1】（4分）
用戶在調(diào)用gets()函數(shù)時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗(yàn)證函數(shù)的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網(wǎng)yangdada：
1.應(yīng)該輸入一個24位的字符串，且前12位與后12位要完全一樣。這樣的話可以導(dǎo)致后12的值賦值給origpassword[12]這個數(shù)組，前12的數(shù)據(jù)可以賦值給userpassword[12]這個數(shù)組，這樣的話兩者的值就相等了，if語句的條件不會符合。 2.存在緩沖區(qū)溢出漏洞，解決的辦法是對用戶的輸入值進(jìn)行檢查，限制用戶的輸入長度，防止發(fā)生緩沖區(qū)溢出這樣的情況。

信管網(wǎng)radeonxhl：
問題一 前12個字符和后12個字符一樣即可 問題二 緩沖區(qū)溢出，校驗(yàn)用戶輸入的密碼長度，不能超過12個字符

信管網(wǎng)cnitpm5436332219：
問題1：大于等于24個字符，其中前12個字符和后12個字符相同，且為非零字符 問題2：緩沖區(qū)溢出，檢查輸入?yún)?shù)長度，

信管網(wǎng)wl.2017：
問題1：輸入超過數(shù)組定義長度的值時。＜br＞問題2：緩存區(qū)溢出，在調(diào)用gets（）函數(shù)時增加數(shù)組越界的判斷。