作业信息

教材学习内容总结

《C语言程序设计》第十一章：了解了指针与数组之间的关系；知道了使用动态数组进行分配。

教材学习中的问题和解决过程

问题1：溢出区的攻击如何实现？

问题1解决方案：查找资料得， 程序员通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序：

  void function(char *str) {

      char buffer[16];

      strcpy(buffer,str);

      }

上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16，就会造成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat()，sprintf()，vsprintf()，gets()，scanf()等。

    当然，随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”（Segmentation fault），而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序属于root且有suid(Set User ID,)权限的话，攻击者就获得了一个有root权限的shell，可以对系统进行任意操作了。

    缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了，并且易于实现。而且，缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。

    在1998年Lincoln实验室用来评估入侵检测的的5种远程攻击中，有2种是缓冲区溢出。而在1998年CERT的13份建议中，有9份是是与缓冲区溢出有关的，在1999年，至少有半数的建议是和缓冲区溢出有关的。在Bugtraq的调查中，有2/3的被调查者认为缓冲区溢出漏洞是一个很严重的安全问题。

代码调试中的问题和解决过程

无

上周考试错题总结：

1.Which of the following would correspond to an organization, such as a university or company?

A. IP address   B. Domain name   C. Top-level domain  D. MIME type    E. Hostname

正确答案： B

你的作答： C

翻译：以下哪一项对应于一个组织，如大学或公司？

解析：

域名由两种基本类型组成:以机构性质命名的域和以国家地区代码命名的域。常见的以机构性质命名的域一般由三个字符组成。

顶级域名是域名的最后一个部分，即是域名最后一点之后的字母，例如在example.com这个域名中，顶级域是.com（或.COM），大小写视为相同。故选B

2.TCP/IP is a seven-layer breakdown of network interaction used to facilitate communication standards.

正确答案： 错误

你的作答： 正确

翻译：TCP/IP是用于促进通信标准的网络交互的七层分解。

3.Which of the following allows the user to define the tags used to markup document content?

A. HTML    B. XML    C. Chemistry Markup Language (CML)   D. URLE. Java applet

正确答案： B

你的作答： A

翻译：以下哪项允许用户定义用于标记文档内容的标记？

解析：扩展标记语言 (Extensible Markup Language, XML) ，标准通用标记语言的子集，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 可扩展性良好,内容与形式分离,遵循严格的语法要求,保值性良好等优点。选B。

4.Metalanguage is a specification of the organization of an XML document.

正确答案： 正确

你的作答： 错误

其他：无

解决方案：

学习进度条