信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2022/10/31）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2022/10/31

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2022/10/31）

阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。
【说明】
某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

【问题1】（4分）
用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？
【问题2】（4分）
上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。

信管网一只没有智慧的＊＊：
输入两次与密码长度相同的同样的数字＜br＞调用函数不安全的设计不安全类型，清除思路有使用更安全的函数类型，加入可以提高安全性的验证工具。

信管网cnitpm568188468388：
输入一样长度12的字符串可绕过，＜br＞缓冲区溢出，＜br＞强制输入正确的代码格式，使用编译器边界检查，系统缓冲区设置不可执行

信管网cnitpm480944425705：
输入24个字符，其中前12个字符和后12个字符完全相同 存在缓冲区溢出漏洞 对输入的长度进行检测

信管网cnitpm577696232090：
问题1 答：输入一段前12个字符和随后12个字符相等的任意长度不小于24个字符的字符串可以绕开该登录限制。 问题2 答：存在缓存溢出的安全隐患。 解决思路：1. 禁用没有边界检查的函数 2.对代码进行静态分析，分析变量在内容中的变化情况。3.使用安全的工具辅助开发和审计