Web 服务调用时缓冲区溢出 - 这可能吗？

Question

我想知道无论使用何种编程语言编写服务，理论上是否可能发生 Web 服务缓冲区溢出攻击？

非常感谢

Answer 1

如果您有一种编程语言在运行时检查所有缓冲区访问是否有效，那么如何会出现缓冲区溢出呢？有很多这样的语言（例如，Java）。

一个更实际的问题是，是否有任何 Web 服务是完全以这种方式（从下到上）实现的？我对此表示怀疑；大多数都是建立在操作系统之上的，通常用 C 语言编写，这也是一个弱点。您无法实际保证操作系统（或 Java 运行时）底层的机器中不存在隐藏的缓冲区溢出。

您可以做的一件事是将“无缓冲区访问检查”编程语言转换为“经过检查”的编程语言，该语言不会在不报告错误的情况下犯错误。请参阅我们的 CheckPointer，了解针对 C 编程语言执行此操作的工具。目前，该工具不适用于生产环境，因为它增加了相当多的开销。然而，还是有希望的。有些研究项目生成的程序无法访问其自身内存之外的内容，但以功能正确性/准确报告换取性能，并且这些项目的开销相当低。最终这些方法可能会在软件的较低层中使用，以确保它们也不会引起问题。