一、堆棧溢出是什么

堆棧溢出是說堆區(qū)和棧區(qū)的溢出，二者同屬于緩沖區(qū)溢出。從上面關(guān)于堆區(qū)和棧區(qū)的解釋可以看出，一旦程序確定，堆棧內(nèi)存空間的大小就是固定的，當(dāng)數(shù)據(jù)已經(jīng)把堆棧的空間占滿，再往里面存放數(shù)據(jù)就會超出容量，發(fā)生上溢。發(fā)生下溢。需要注意的是，棧分為順序棧和鏈棧，鏈棧不會發(fā)生溢出，順序棧會發(fā)生溢出。

原因分析

堆棧尺寸設(shè)置過小、遞歸調(diào)用過深、函數(shù)調(diào)用層次過深等程序設(shè)計不當(dāng)之處都可能導(dǎo)致堆棧溢出。

1、 堆棧尺寸設(shè)置過小

由堆棧溢出的定義便可知，堆棧尺寸設(shè)置過小時，其能儲存的內(nèi)容過小，容易發(fā)生溢出。^?[6]?

2、遞歸層次太深或函數(shù)調(diào)用層次過深導(dǎo)致堆棧溢出

調(diào)用函數(shù)時，系統(tǒng)將為調(diào)用者構(gòu)造一個由參數(shù)表返回地址組成的活動記錄，并將其押入到由系統(tǒng)提供的運行時刻棧的棧頂，然后將程序的控制權(quán)轉(zhuǎn)移到被調(diào)函數(shù)。若被調(diào)函數(shù)有局部變量，則在運行時刻，在棧的棧頂也要為其分配相應(yīng)的空間，因此，活動記錄和這些局部變量形成了一個可供被調(diào)函數(shù)使用的活動結(jié)構(gòu)。被調(diào)函數(shù)執(zhí)行完畢時，系統(tǒng)將運行時刻棧的棧頂?shù)幕顒咏Y(jié)構(gòu)退棧，并根據(jù)退棧的活動結(jié)構(gòu)中所保存的返回地址將程序的控制權(quán)轉(zhuǎn)移給調(diào)用者繼續(xù)執(zhí)行。由此可見，當(dāng)遞歸層次太深時或者函數(shù)調(diào)用層次過深時會產(chǎn)生大量的活動記錄和局部變量，當(dāng)超過棧的空間長度時，即發(fā)生溢出。^?[7]?

例如C/C++語言中的無限遞歸：

3、動態(tài)申請空間使用之后沒有釋放

如果是C語言，由于沒有垃圾資源自動回收機制，因此，需要程序主動釋放已經(jīng)不再使用的動態(tài)地址空間，如果不釋放，程序結(jié)束后該部分空間依然存在，還可以繼續(xù)訪問，也就是說這部分依然占據(jù)著堆空間，剩余的堆空間減少，就可能造成堆區(qū)溢出。而如果是Java語言則因為有專門的垃圾回收器回收則不會有此問題。

延伸閱讀：

二、堆棧溢出安全威脅

堆棧溢出常見的攻擊類型有：修改函數(shù)的返回地址，使其指向攻擊代碼，當(dāng)函數(shù)調(diào)用結(jié)束時程序跳轉(zhuǎn)到攻擊者設(shè)定的地址而不是原先的地址，修改函數(shù)指針，長跳轉(zhuǎn)緩沖區(qū)來找到一個可供溢出的緩沖區(qū)。攻擊者通過緩沖區(qū)溢出來重寫存儲在返回地址內(nèi)的值從而達(dá)到控制程序的執(zhí)行流程的目的。程序函數(shù)就像是一個大程序中的小程序。它是相對獨立的，對傳給它的數(shù)據(jù)做相應(yīng)的處理然后將處理的結(jié)果返回給主函數(shù)。因為數(shù)據(jù)在一個函數(shù)內(nèi)進(jìn)行處理，因此它用棧作為數(shù)據(jù)的臨時存儲區(qū)域。當(dāng)一個程序調(diào)用函數(shù)時，它將所有的數(shù)據(jù)壓棧，包括返回地址，如圖所示。當(dāng)函數(shù)被調(diào)用時，指令指針指向的就是函數(shù)的返回地址。這一點很重要，因為當(dāng)被調(diào)用函數(shù)執(zhí)行結(jié)束以后，主程序要回到被調(diào)用函數(shù)的返回地址處，接著執(zhí)行下一條指令。返回地址存儲在RET中，當(dāng)被調(diào)用函數(shù)執(zhí)行結(jié)束，該返回地址傳遞給指令指針，以便主函數(shù)能夠回到函數(shù)調(diào)用之前的地址繼續(xù)執(zhí)行。如果攻擊者能夠使緩沖區(qū)溢出并且重寫存儲在RET中的值，將惡意代碼的地址賦值給RET，那么指令指針將指向惡意代碼，從而執(zhí)行惡意代碼。