信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2021/11/2）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/11/2

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2021/11/2）

阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。
【说明】
某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

【问题1】（4分）
用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？
【问题2】（4分）
上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。

信管网cnitpm430965388779：
1、前12个字符，和后门12个字符一样，中间用于过度填充，如格式 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 2、缓冲区溢出，输入参数校验长度和字符类型

信管网cnitpm457339504572：
六位字符串 溢出漏洞 上述代码的userpasswordi一共开辟了12个空间，若gets（）输入长度大于12的字符串，将会出现溢出 将userpasssword由固定的静态分配空间改为动态分配空间

信管网安全最重要吧：
问题一：输入24个字符串长度的值，前12个字符串跟后12个字符串一样。比如123456789456123456789456＜br＞问题二：内存溢出＜br＞通过获取userpassword的值时需要限制输入的字符串的长度为12个字符

信管网cnitpm50331607771：
1、密码是12字节的字符串 如果输入24位字符串 使得前12个字符和后12个字符一样，就可以跳过 2，缓冲区溢出的安全隐患，以上程序必须保证输入字符的长度小于等于12个字符，如果超过12个字符就会发生缓冲区溢出 使用安全函数来代替gets（）,对用户输入的字符串进行检查和校对，不可以超过12个字符，还可以使用if语句判断输入是否越界。