一、堆棧溢出是什么
堆棧溢出是說堆區(qū)和棧區(qū)的溢出,二者同屬于緩沖區(qū)溢出。從上面關(guān)于堆區(qū)和棧區(qū)的解釋可以看出,一旦程序確定,堆棧內(nèi)存空間的大小就是固定的,當(dāng)數(shù)據(jù)已經(jīng)把堆棧的空間占滿,再往里面存放數(shù)據(jù)就會(huì)超出容量,發(fā)生上溢。發(fā)生下溢。需要注意的是,棧分為順序棧和鏈棧,鏈棧不會(huì)發(fā)生溢出,順序棧會(huì)發(fā)生溢出。
原因分析
堆棧尺寸設(shè)置過小、遞歸調(diào)用過深、函數(shù)調(diào)用層次過深等程序設(shè)計(jì)不當(dāng)之處都可能導(dǎo)致堆棧溢出。
1、 堆棧尺寸設(shè)置過小
由堆棧溢出的定義便可知,堆棧尺寸設(shè)置過小時(shí),其能儲(chǔ)存的內(nèi)容過小,容易發(fā)生溢出。?[6]?
2、遞歸層次太深或函數(shù)調(diào)用層次過深導(dǎo)致堆棧溢出
調(diào)用函數(shù)時(shí),系統(tǒng)將為調(diào)用者構(gòu)造一個(gè)由參數(shù)表返回地址組成的活動(dòng)記錄,并將其押入到由系統(tǒng)提供的運(yùn)行時(shí)刻棧的棧頂,然后將程序的控制權(quán)轉(zhuǎn)移到被調(diào)函數(shù)。若被調(diào)函數(shù)有局部變量,則在運(yùn)行時(shí)刻,在棧的棧頂也要為其分配相應(yīng)的空間,因此,活動(dòng)記錄和這些局部變量形成了一個(gè)可供被調(diào)函數(shù)使用的活動(dòng)結(jié)構(gòu)。被調(diào)函數(shù)執(zhí)行完畢時(shí),系統(tǒng)將運(yùn)行時(shí)刻棧的棧頂?shù)幕顒?dòng)結(jié)構(gòu)退棧,并根據(jù)退棧的活動(dòng)結(jié)構(gòu)中所保存的返回地址將程序的控制權(quán)轉(zhuǎn)移給調(diào)用者繼續(xù)執(zhí)行。由此可見,當(dāng)遞歸層次太深時(shí)或者函數(shù)調(diào)用層次過深時(shí)會(huì)產(chǎn)生大量的活動(dòng)記錄和局部變量,當(dāng)超過棧的空間長(zhǎng)度時(shí),即發(fā)生溢出。?[7]?
例如C/C++語言中的無限遞歸:
| 1 2 3 4 5 6 7 | int?foo() { ????return?foo()???//重復(fù)無限的自我調(diào)用 } ? (define?(foo)?(foo))?//這樣定義會(huì)造成死循環(huán),但不會(huì)導(dǎo)致堆棧溢出 (define?(foo)?(+(foo)1))?//這樣的定義會(huì)產(chǎn)生堆棧溢出 |
3、動(dòng)態(tài)申請(qǐng)空間使用之后沒有釋放
如果是C語言,由于沒有垃圾資源自動(dòng)回收機(jī)制,因此,需要程序主動(dòng)釋放已經(jīng)不再使用的動(dòng)態(tài)地址空間,如果不釋放,程序結(jié)束后該部分空間依然存在,還可以繼續(xù)訪問,也就是說這部分依然占據(jù)著堆空間,剩余的堆空間減少,就可能造成堆區(qū)溢出。而如果是Java語言則因?yàn)橛袑iT的垃圾回收器回收則不會(huì)有此問題。
延伸閱讀:
二、堆棧溢出安全威脅
堆棧溢出常見的攻擊類型有:修改函數(shù)的返回地址,使其指向攻擊代碼,當(dāng)函數(shù)調(diào)用結(jié)束時(shí)程序跳轉(zhuǎn)到攻擊者設(shè)定的地址而不是原先的地址,修改函數(shù)指針,長(zhǎng)跳轉(zhuǎn)緩沖區(qū)來找到一個(gè)可供溢出的緩沖區(qū)。攻擊者通過緩沖區(qū)溢出來重寫存儲(chǔ)在返回地址內(nèi)的值從而達(dá)到控制程序的執(zhí)行流程的目的。程序函數(shù)就像是一個(gè)大程序中的小程序。它是相對(duì)獨(dú)立的,對(duì)傳給它的數(shù)據(jù)做相應(yīng)的處理然后將處理的結(jié)果返回給主函數(shù)。因?yàn)閿?shù)據(jù)在一個(gè)函數(shù)內(nèi)進(jìn)行處理,因此它用棧作為數(shù)據(jù)的臨時(shí)存儲(chǔ)區(qū)域。當(dāng)一個(gè)程序調(diào)用函數(shù)時(shí),它將所有的數(shù)據(jù)壓棧,包括返回地址,如圖所示。當(dāng)函數(shù)被調(diào)用時(shí),指令指針指向的就是函數(shù)的返回地址。這一點(diǎn)很重要,因?yàn)楫?dāng)被調(diào)用函數(shù)執(zhí)行結(jié)束以后,主程序要回到被調(diào)用函數(shù)的返回地址處,接著執(zhí)行下一條指令。返回地址存儲(chǔ)在RET中,當(dāng)被調(diào)用函數(shù)執(zhí)行結(jié)束,該返回地址傳遞給指令指針,以便主函數(shù)能夠回到函數(shù)調(diào)用之前的地址繼續(xù)執(zhí)行。如果攻擊者能夠使緩沖區(qū)溢出并且重寫存儲(chǔ)在RET中的值,將惡意代碼的地址賦值給RET,那么指令指針將指向惡意代碼,從而執(zhí)行惡意代碼。
京公網(wǎng)安備 11010802030320號(hào)