[컴퓨터 보안] 버퍼 오버플로우(Buffer overflow)의 개념과 예방법

-

버퍼 오버플로우(Buffer overflow)의 개념과 예방


버퍼 오버플로우 개념

버퍼 오버플로우는 버퍼 오버런(buffer overrun), 버퍼 오버라이트(buffer overwrite)라고도 불린다. 
버퍼 오버플로우의 개념은 버퍼에 할당된 저장 영역에 할당된 영역보다 더 많은 자료를 입력하여 데이터를 변경 할 수 있는 조건이다. 
공격자는 조건을 이용하여 시스템 먹통으로 만들거나 코드를 삽입해서 시스템의 제어를 가진다.
버퍼 오버플로우는 스택 버퍼 오버플로우, 힙 버퍼 오버플로우 2 가지가 있다.


버퍼 오버플로우 예제


1. 아래 코드를 실행 해보자.

#include <stdio.h>
#include <string.h>

void vulnerableFunction(char* input) {
    char buffer[10];
    strcpy_s(buffer, 20, input);//4 copy하기
    printf("입력값: %s\n", buffer); //공백"\n" 포함 10자가 넘으면 오류 발생
}

int main() {
    char userInput[20];
    printf("문자열을 입력하세요: ");// 1. 문자 입력
    gets(userInput); //2. 문자열 입력 받기(공백"\n" 포함 )
    vulnerableFunction(userInput);//3. 함수 가기
    return 0;
}


2. 1234567891 을 입력하면 총 11글자다.(gets 함수는 문자열을 입력하는 함수인데 공백(\n)을 포함 한다.)



3. 버퍼 오버플로우가 발생했다면서 에러가 발생한다.




4. 오류가 발생하는 이유

1. main 함수의 UserInput[20] 배열은 20바이트를 할당 했고 
2. vulnerableFunction 함수의 buffer[10] 배열은 10 바이트를 할당 했다.
3. strcpy_s(buffer, 20, input); 함수에서 buffer에 *input의 11바이트(1234567891\n)을 복사해서 넣을려고 하니 버퍼 오버플로우가 발생해 오류가 났다.



5. gets 함수 바꿔서 개수 지정해주기

위처럼 gets 함수는 문자열을 입력 할 수 있다. gets 함수 대신 fgets 함수를 사용하여 최대  입력 수를 정할 수 있다. 만약 10을 적으면 10개만 입력이 가능하니 버퍼 오버플로우를 예방 할 수 있다.



스택 버퍼 오버플로우


buffer[8] 보다 많은 8글자 이상 입력하면 오버플로우가 발생한다.
gets 함수를 fgets로 바꿔 입력수를 제한해야 한다.

#include <stdio.h>

int main() {
    char buffer[8];
    printf("문자열을 입력하세요: ");
    gets(buffer);
    printf("입력값: %s\n", buffer);
}


힙 버퍼 오버플로우


동적 할당을 한 buffer 보다 많은 10글자 이상 입력하면 오버 플로우가 발생한다.
gets 함수를 fgets로 바꿔 입력수를 제한해야 한다. 또한 동적 할당 해제인 free를 꼭 해줘야 한다.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void vulnerableFunction(char* input) {
    char* buffer = (char*)malloc(10);
    strcpy_s(buffer, 10, input);
    printf("입력값: %s\n", buffer);
    free(buffer);
}

int main() {
    char userInput[20];
    printf("문자열을 입력하세요: ");
    gets(userInput);
    vulnerableFunction(userInput);
    return 0;
}




버퍼 오버플로우 예방법


1. 프로그래밍 언어 선택 : 현대의 고급 프로그래밍 언어는 변수 타입, 허용되지 않는 연산 등에 대해 강력한 표기법을 제공한다. 이러면 프로그래머가 오버플로우를 따로 검증하는 코드를 안 작성해도 된다. 왜냐하면 이미 컴파일러가 그 표기법은 안된다고 검증을 하라고 알려주기 때문.

2. 안전한 라이브러리 사용 : 검증된 라이브러리 같은 경우는 개발자들이 마음 놓고 쓴다. 하지만 어떠한 버퍼 오버플로우가 있을 지 모르는 일이다. 또한 사용하지 말라는 함수는 사용 하면 안된다. 예를 들어 gets 함수대신 getsf 함수를 쓰는 것처럼 안전한 라이브러리 함수를 사용해야 한다.



댓글

댓글 쓰기

이 블로그의 인기 게시물

[Arduino] 아두이노 초음파 센서(HC-SR04) 사용하기

-
이미지
아두이노 초음파 센서(HC-SR04) 사용하기 초음파 센서의 값을 받아서 시리얼 모니터에 출력하는 예제다. 초음파 센서 거리 구하는 순서   1. Trigger에서 초음파를 쏜다. 2. 물체를 만나면 반사를 한다. 3. Echo 에서 반사된 초음파를 읽는다. 회로도 Trigger 가 13번 핀, Echo가 12번 핀이다. 만약 작동이 안되면 Trigger 핀과 Echo핀을 서로 바꿔서 해보면 된다. 코드 구현 TRIGGER_PIN : 초음파를 쏜다. ECHO_PIN : 물체를 만나 반사 되는 초음파를 받는다. #define TRIGGER_PIN 13 #define ECHO_PIN 12 void setup () {   Serial . begin ( 9600 ) ;   pinMode ( TRIGGER_PIN, OUTPUT ) ;   pinMode ( ECHO_PIN, INPUT ) ; } void loop () {   int duration, distance;   digitalWrite ( TRIGGER_PIN, HIGH ) ; //초음파 발사   delayMicroseconds ( 1000 ) ;   digitalWrite ( TRIGGER_PIN, LOW ) ;   duration = pulseIn ( ECHO_PIN, HIGH ) ; // 초음파 받기   distance = duration / 58 ; // cm로 거리 구하기     Serial . print ( distance ) ;   Serial . println ( "cm" ) ; //시리얼 모니터 출력   delay ( 100 ) ; }
다른 게시물 보기

[Arduino] 아두이노 조이스틱 사용하기

-
이미지
아두이노 조이스틱 사용하기 조이스틱은 X, Y, Z 값을 얻을 수 가 있다. X, Y 는 아날로그 값. Z 는 디지털 값(0 , 1) 조이스틱을 활용해서 미니카를 움직일 수 있다. 회로도 그림 잘 보고 연결 해야 한다. 그림이 반전 되어 있을 수 도 있으니 GND 위치 확인하고 연결. 코드 구현 조이스틱의 x, y, z축 값을 출력하는 코드다. #define X_PIN A0 #define Y_PIN A1 #define SW_PIN 2 void setup () {   pinMode ( SW_PIN, INPUT_PULLUP ) ;   pinMode ( X_PIN, INPUT ) ;   pinMode ( Y_PIN, INPUT ) ;   Serial . begin ( 9600 ) ; } void loop () {   int x = analogRead ( X_PIN ) ;   int y = analogRead ( Y_PIN ) ;   int z = digitalRead ( SW_PIN ) ;   if ( !z ) // 스위치가 안 눌렸으면 x, y, z 값 출력   {     Serial . print ( x ) ;     Serial . print ( ", " ) ;     Serial . print ( y ) ;     Serial . print ( ", " ) ;     Serial . println ( z ) ;   } }
다른 게시물 보기

[자연 환경] 농약의 장단점 농약이 환경과 인간에게 미치는 영향

-
이미지
농약의 장단점 농약이 환경과 인간에게 미치는 영향 21세기에 농약은 없어서는 안되지만 환경에 좋지 않은 영향을 미친다. 현재 사용하는 농약을 대체 할 수 있는 해결 방안이 있어야 한다. 농약 이란? 농약이란 농사를 짓는데 필요한 약이다. 사람의 질병을 치료하는데 약을 사용하는 것처럼 농식물의 질병을 치료하는데 농약이 필요하다. 농약의 장점 - 작물 수확량 증진 - 농산물 해충 방제 - 인류의 보건 증진과 식량 증신에 크게 이바지 함 농약의 단점 - 환경 오염 - 농약에 내성이 생긴 해충 출현 - 생태계 파괴 - 익충 피해 아래에서 더 자세한 내용을 다룸 농약이 생태계에 미치는 영향 농약을 사용할 때 해충만 선택 적으로 죽이기는 어렵다. 때문에 이로운 익충 까지도 모두 죽게 된다. 농약 사용 후 빈 통을 버리지 않고 강물에 버려 수생생물에게도 영향을 끼친다. 또 한 비가 내리면 농약을 과다 사용한 토지에서 빗물을 타고 하천 까지 유입되어 영향을 끼친다.  농약이 인간에게 미치는 영향 농약을 친 농산물은 결국 사람이 섭취하게 된다. 요즘 농약은 분해 속도가 빨라 장기간 남는 경우가 별로 없다고 한다. 하지만 여전히 농약에 중독되는 사고가 발생한다. 농약의 미래 요즘 자연에서 추출한 물질을 농약 대용으로 사용하는 사례가 생겼다. 예를 들어 마요네즈, 식용유 등 식자재를 혼합하여 사용하는 것이다. 하지만 확실하게 독성이 없다고 장담 할 수 없으며 살충효과를 장담하지 못한다.  과거 20세기 농약은 살충제를 뿌렸다가 새들이 다 죽는 사례가 있을 정도로 엄청난 독성이 있었다. 현재는 독성이 많이 줄었다고 해도 수천, 수만개가 되는 농약의 안전성은 검증 할 수 없다.
다른 게시물 보기