安全整数运算：避免overflow导致的安全漏洞

安全整数运算的核心在于确保运算过程中不会发生溢出，从而避免程序行为异常或被攻击。1. 使用编译器或语言内置功能进行溢出检查，如 c++++20 的 std::has_overflow 和 rust 的 checked_add 方法；2. 手动实现溢出检测逻辑，例如通过判断 a + b 工具辅助检测；6. 整数溢出可能被用于缓冲区溢出、拒绝服务、权限提升和信息泄露等攻击，需通过边界检查和输入验证加以防范。

安全整数运算，简单来说，就是确保你的整数运算不会溢出，从而导致程序出现意想不到的行为，甚至被恶意利用。

解决方案

要实现安全整数运算，核心思路是在运算前或运算后检查是否发生溢出。具体方法有很多，选择哪种取决于你的编程语言和具体场景。

1. 使用编译器或语言提供的内置函数/特性： 许多现代编译器和编程语言都提供了内置的溢出检测功能。例如，C++20 引入了 std::has_overflow 和 std::overflow_error。Rust 则默认进行溢出检查，并在 debug 模式下 panic，release 模式下 wrap around（但可以使用 wrapping_add 等方法显式指定 wrap around 行为）。

   

   #include <iostream>
   #include <limits>
   #include <stdexcept>
   
   int main() {
       int a = std::numeric_limits<int>::max();
       int b = 1;
   
       try {
           int result = a + b; // 可能溢出
           if (std::has_overflow(a, b, result)) { // C++20
               throw std::overflow_error("Integer overflow occurred");
           }
           std::cout << "Result: " << result << std::endl;
       } catch (const std::overflow_error& e) {
           std::cerr << "Error: " << e.what() << std::endl;
       }
   
       return 0;
   }

   登录后复制

   fn main() {
       let a: i32 = i32::MAX;
       let b: i32 = 1;
   
       // Debug 模式下会 panic
       let result = a.checked_add(b);
   
       match result {
           Some(value) => println!("Result: {}", value),
           None => println!("Overflow occurred!"),
       }
   }

   登录后复制

2. 手动检查溢出： 如果你的语言没有内置的溢出检测，或者你需要更细粒度的控制，可以手动检查。 对于加法，如果 a + b a，则发生了负溢出（假设 a 和 b 都是正数）。 乘法稍微复杂一些，你需要检查结果是否大于 max_value / a 或小于 min_value / a。

   #include <stdio.h>
   #include <limits.h>
   
   int safe_add(int a, int b, int *result) {
       if ((b > 0 && a > INT_MAX - b) || (b < 0 && a < INT_MIN - b)) {
           return -1; // 溢出
       }
       *result = a + b;
       return 0; // 成功
   }
   
   int main() {
       int a = INT_MAX;
       int b = 1;
       int result;
   
       if (safe_add(a, b, &result) == 0) {
           printf("Result: %d\n", result);
       } else {
           printf("Overflow occurred!\n");
       }
   
       return 0;
   }

   登录后复制

3. 使用更大的数据类型： 如果你知道运算结果可能会超出当前数据类型的范围，可以使用更大的数据类型。 例如，如果你的运算涉及 int，可以考虑使用 long long。

4. 使用专门的库： 某些库提供了安全的整数运算功能，例如 GMP (GNU Multiple Precision Arithmetic Library) 提供了任意精度的整数运算。

如何识别可能导致整数溢出的代码？

识别潜在的溢出点需要一定的经验和代码审查能力。关注以下几点可以帮助你发现问题：

• 循环计数器： 循环计数器如果递增过快，可能会溢出。特别是在循环次数依赖于用户输入的情况下。
• 数组索引： 使用整数作为数组索引时，如果索引值超出数组范围，会导致内存访问错误，而溢出可能导致计算出错误的索引值。
• 财务计算： 财务计算对精度要求很高，整数溢出会导致严重的财务错误。
• 涉及用户输入的计算： 永远不要信任用户输入。对用户输入进行验证和范围检查是避免溢出的重要手段。
• 位运算： 位运算可能导致符号位被意外修改，从而导致溢出。

整数溢出漏洞如何被利用？

整数溢出本身不一定是漏洞，但它常常与其他漏洞结合，造成严重的安全问题。

• 缓冲区溢出： 整数溢出可能导致计算出错误的缓冲区大小，从而导致缓冲区溢出漏洞。 攻击者可以利用缓冲区溢出执行任意代码。
• 拒绝服务（DoS）： 整数溢出可能导致程序崩溃或进入死循环，从而导致拒绝服务。
• 权限提升： 在某些情况下，整数溢出可能导致权限检查失败，从而导致权限提升。
• 信息泄露： 整数溢出可能导致程序读取到不应该读取的内存区域，从而导致信息泄露。

一个经典的例子是 OpenSSL 的 Heartbleed 漏洞，虽然 Heartbleed 的根本原因是缺少边界检查，但整数溢出在其中扮演了重要的角色。攻击者发送一个畸形的 heartbeat 请求，其中包含一个非常大的长度值。 OpenSSL 没有正确检查这个长度值是否会导致整数溢出，导致程序读取了服务器内存中的敏感信息。

/* 读取 heartbeat 请求 */
unsigned short hbtype = *p++;
unsigned int payload = *p++;
unsigned int length = *p++;

/* ... */

unsigned char *buffer = (unsigned char *) malloc(1 + payload + length); // potential overflow here
unsigned char *bp = buffer;

/* ... */

memcpy(bp, pl, payload); // copy payload
bp += payload;
memcpy(bp, p, length); // copy length bytes from heartbeat request

在这个例子中，如果 payload + length 的值超过了 unsigned int 的最大值，就会发生整数溢出，malloc 分配的内存会比实际需要的要小。 随后的 memcpy 操作就会导致缓冲区溢出，攻击者可以读取服务器内存中的敏感信息。

如何在代码审查中发现整数溢出？

代码审查是发现整数溢出漏洞的重要手段。以下是一些在代码审查中需要关注的点：

• 检查所有整数运算： 特别是加法、减法、乘法和位运算。
• 关注用户输入： 确保对用户输入进行验证和范围检查。
• 检查循环计数器： 确保循环计数器不会溢出。
• 关注数组索引： 确保数组索引在有效范围内。
• 使用静态分析工具： 静态分析工具可以帮助你自动发现潜在的整数溢出漏洞。

在审查时，可以尝试使用一些边界值进行测试，例如 INT_MAX、INT_MIN、0 和负数。 思考这些值是否会导致溢出，以及溢出会对程序造成什么影响。

以上就是安全整数运算：避免overflow导致的安全漏洞的详细内容，更多请关注php中文网其它相关文章！