一、堆棧溢出是什么
堆棧溢出是說堆區(qū)和棧區(qū)的溢出,二者同屬于緩沖區(qū)溢出。從上面關于堆區(qū)和棧區(qū)的解釋可以看出,一旦程序確定,堆棧內存空間的大小就是固定的,當數(shù)據已經把堆棧的空間占滿,再往里面存放數(shù)據就會超出容量,發(fā)生上溢。發(fā)生下溢。需要注意的是,棧分為順序棧和鏈棧,鏈棧不會發(fā)生溢出,順序棧會發(fā)生溢出。
原因分析
堆棧尺寸設置過小、遞歸調用過深、函數(shù)調用層次過深等程序設計不當之處都可能導致堆棧溢出。
1、 堆棧尺寸設置過小
由堆棧溢出的定義便可知,堆棧尺寸設置過小時,其能儲存的內容過小,容易發(fā)生溢出。?[6]?
2、遞歸層次太深或函數(shù)調用層次過深導致堆棧溢出
調用函數(shù)時,系統(tǒng)將為調用者構造一個由參數(shù)表返回地址組成的活動記錄,并將其押入到由系統(tǒng)提供的運行時刻棧的棧頂,然后將程序的控制權轉移到被調函數(shù)。若被調函數(shù)有局部變量,則在運行時刻,在棧的棧頂也要為其分配相應的空間,因此,活動記錄和這些局部變量形成了一個可供被調函數(shù)使用的活動結構。被調函數(shù)執(zhí)行完畢時,系統(tǒng)將運行時刻棧的棧頂?shù)幕顒咏Y構退棧,并根據退棧的活動結構中所保存的返回地址將程序的控制權轉移給調用者繼續(xù)執(zhí)行。由此可見,當遞歸層次太深時或者函數(shù)調用層次過深時會產生大量的活動記錄和局部變量,當超過棧的空間長度時,即發(fā)生溢出。?[7]?
例如C/C++語言中的無限遞歸:
1 2 3 4 5 6 7 | int?foo() { ????return?foo()???//重復無限的自我調用 } ? (define?(foo)?(foo))?//這樣定義會造成死循環(huán),但不會導致堆棧溢出 (define?(foo)?(+(foo)1))?//這樣的定義會產生堆棧溢出 |
3、動態(tài)申請空間使用之后沒有釋放
如果是C語言,由于沒有垃圾資源自動回收機制,因此,需要程序主動釋放已經不再使用的動態(tài)地址空間,如果不釋放,程序結束后該部分空間依然存在,還可以繼續(xù)訪問,也就是說這部分依然占據著堆空間,剩余的堆空間減少,就可能造成堆區(qū)溢出。而如果是Java語言則因為有專門的垃圾回收器回收則不會有此問題。
延伸閱讀:
二、堆棧溢出安全威脅
堆棧溢出常見的攻擊類型有:修改函數(shù)的返回地址,使其指向攻擊代碼,當函數(shù)調用結束時程序跳轉到攻擊者設定的地址而不是原先的地址,修改函數(shù)指針,長跳轉緩沖區(qū)來找到一個可供溢出的緩沖區(qū)。攻擊者通過緩沖區(qū)溢出來重寫存儲在返回地址內的值從而達到控制程序的執(zhí)行流程的目的。程序函數(shù)就像是一個大程序中的小程序。它是相對獨立的,對傳給它的數(shù)據做相應的處理然后將處理的結果返回給主函數(shù)。因為數(shù)據在一個函數(shù)內進行處理,因此它用棧作為數(shù)據的臨時存儲區(qū)域。當一個程序調用函數(shù)時,它將所有的數(shù)據壓棧,包括返回地址,如圖所示。當函數(shù)被調用時,指令指針指向的就是函數(shù)的返回地址。這一點很重要,因為當被調用函數(shù)執(zhí)行結束以后,主程序要回到被調用函數(shù)的返回地址處,接著執(zhí)行下一條指令。返回地址存儲在RET中,當被調用函數(shù)執(zhí)行結束,該返回地址傳遞給指令指針,以便主函數(shù)能夠回到函數(shù)調用之前的地址繼續(xù)執(zhí)行。如果攻擊者能夠使緩沖區(qū)溢出并且重寫存儲在RET中的值,將惡意代碼的地址賦值給RET,那么指令指針將指向惡意代碼,從而執(zhí)行惡意代碼。