内存安全漏洞与防护（缓冲区溢出、UAF等）

1. 漏洞描述

内存安全漏洞是指程序在分配、使用或释放内存时，因逻辑错误导致内存访问越界、重复释放、使用已释放内存等问题，可能引发崩溃、数据泄露或代码执行。常见类型包括：

• 缓冲区溢出：向固定长度缓冲区写入超长数据，覆盖相邻内存（如栈、堆）。
• 释放后使用（UAF）：释放内存后未清空指针，后续继续使用该指针。
• 双重释放：多次释放同一块内存，破坏堆元数据。
• 整数溢出：计算缓冲区大小时整数越界，导致实际分配内存不足。

2. 漏洞原理与危害

（1）栈缓冲区溢出

示例代码（C语言）：

void vulnerable_function(char* input) {
    char buffer[64];  // 栈上分配64字节缓冲区
    strcpy(buffer, input);  // 无长度检查，可能溢出
}

• 原理：若input长度超过64字节，多余数据会覆盖栈帧中的返回地址、函数参数等。攻击者可精心构造输入，将返回地址指向恶意代码（如Shellcode）。
• 危害：控制程序执行流，实现任意代码执行。

（2）堆释放后使用（UAF）

示例代码（C++）：

class Object { public: char data[32]; };
void UAF_example() {
    Object* obj = new Object();
    delete obj;  // 释放堆内存
    // ... 其他操作可能重新分配该内存
    obj->data[0] = 'a';  // UAF：使用已释放内存
}

• 原理：释放内存后，若该内存被重新分配（如给另一个对象），攻击者可通过残留指针修改新数据，或利用虚函数表劫持控制流。
• 危害：数据篡改、代码执行。

3. 防护机制

（1）编译期防护

• 栈保护（Stack Canary）：
  • 在栈帧返回地址前插入随机值（Canary），函数返回前检查该值是否被修改。
  • 编译器选项：-fstack-protector（GCC）。
• 地址空间布局随机化（ASLR）：
  • 随机化进程内存布局（栈、堆、库地址），增加预测地址难度。
  • 系统配置：/proc/sys/kernel/randomize_va_space（Linux）。
• 数据执行保护（DEP/NX）：
  • 标记内存页为不可执行，防止攻击者执行栈或堆中的代码。

（2）开发规范

• 使用安全函数：
  • 替换strcpy、gets等危险函数为strncpy、fgets等带长度参数版本。
• 动态检查工具：
  • Valgrind：检测内存泄漏、UAF等（Linux）。
  • AddressSanitizer（ASan）：编译时插桩，实时检测内存错误（GCC/Clang选项：-fsanitize=address）。

（3）语言级防护

• 选择内存安全语言：如Rust（所有权模型）、Go（垃圾回收）、Java（边界检查）。
• C/C++最佳实践：
  • 使用智能指针（如std::unique_ptr）自动管理内存。
  • 容器类（如std::vector）替代裸数组，避免手动计算大小。

4. 实战案例：绕过ASLR+DEP

若同时开启ASLR和DEP，攻击者需结合其他漏洞：

• 信息泄露：通过漏洞泄露内存地址，绕过ASLR。
• ROP链：在现有代码中拼接指令片段（gadgets），构造无需注入代码的攻击（Return-Oriented Programming）。

5. 总结

内存安全是系统安全的基石，需结合编译防护、工具检测、代码规范多层次防御。优先选择内存安全语言，对C/C++代码需严格审计和测试。