BUG

发表于 2021-03-25 更新于 2021-07-25 分类于学习

本文字数： 2k 阅读时长 ≈ 2 分钟

野火烧不尽,春风吹又生

——BUG

0x00000001

void inplace_swap(int *x, int *y)
{
    *y = *x ^ *y;
    *x = *x ^ *y;
    *y = *x ^ *y;
}

void reverse_array(int a[], int cnt)
{
    int first, last;
    for (first = 0, last = cnt - 1; first <= last; first++,last--)
    {
        inplace_swap(&a[fisrt], &a[last]);
    }
}

目的：使用上述ｒｅｖｅｒｓｅ＿ａｒｒａｙ（）函数实现将一个数组的元素头尾两端依次对调

漏洞：当数组长度为奇数时，该函数总会将数组中正中元素置零

原因：设数组长度为２＊ｋ＋１，当ｆｉｒｓｔ＝ｌａｓｔ＝ｋ时，调用ｉｎｐｌａｃｅ＿ｓｗａｐ（）函数意味着ａ［ｋ］元素与自身异或，结果总为０

解决方案：

1	for (first = 0, last = cnt - 1; first < last; first++,last--)

0x00000002

float sum_elements(float a[], unsigned length)
{
    int i;
    float result = 0;
    
    for (i = 0; i <= length - 1; i++)
        result += a[i];
    return result;
}

目的：该函数试图计算数组ａ中所有元素的和，其中元素数量由参数ｌｅｎｇｔｈ给出

漏洞：当ｌｅｎｇｔｈ值为０时，运行该函数会遇到一个内存错误

原因：因为参数ｌｅｎｇｔｈ是无符号的，计算０－１将使用无符号运算，这等价于模数加法，结果为３２位最大无符号数，而任何数都是小于或等于该值的，所以该判断条件总为真，代码试图访问数组ａ的非法元素

解决方案：

1	for (i = 0; i < length; i++)

0x00000003

size_t strlen(const char *s);

int strlonger(char *s, char *t)
{
	return strlen(s) - strlen(t) > 0;
}

目的：比较ｓ串是否长于ｔ串

漏洞：当ｓ串长度小于ｔ串长度时，比较函数会不正确地返回１

原因：由于ｓｔｒｌｅｎ（）被定义为产生一个无符号结果，差和比较都采用无符号运算计算。当ｓ比ｔ短的时候，ｓｔｒｌｅｎ（ｓ）－ｓｔｒｌｅｎ（ｔ）的差会为负，但是变成了一个很大的无符号数，且大于零

解决方案：

int strlonger(char *s, char *t)
{
	return strlen(s) > strlen(t); 
}

0x00000004

int tadd_ok(int x, int y)
{
	int sum == x + y;
	return (sum -x == y) && (sum -y == x);
}

目的：测试两数相加是否溢出，无溢出返回１

漏洞：上述测试函数总返回１

原因：补码加法是一个阿贝尔群，因此无论加法是否溢出，表达式（ｘ＋ｙ）－ｘ求值总为ｙ，（ｘ＋ｙ）－ｙ求值总为ｘ

解决方案：

int tadd_ok(int x, int y)
{
	int sum == x + y;
	int neg_over = x < 0 && y < 0 && sum >= 0;
	int pos_over = x > 0 && y > 0 && sum < 0;
	return !neg_over && !pos_over;
}

0x00000005

int tsub_ok(int x, int y)
{
	return tadd_ok(x, -y);
}

目的：测试ｘ－ｙ是否溢出，无溢出返回１

漏洞：该函数会给出正确的值，除了当ｙ＝TMｉｎ时

原因：当ｙ＝TＭｉｎ，有－ｙ也等于ＴＭｉｎ，因此函数ｔａｄｄ＿ｏｋ（）会认为只要ｘ是负数时，就会溢出；而ｘ为非负数时，不会溢出。实际上，情况恰恰相反才对：当ｘ为负数时，ｔｓｕｂ＿ｏｋ（ｘ，ＴＭｉｎ）应该为１；而当ｘ为非负数时，它应该为０

这个例子说明，在函数的任何测试过程中，TMｉｎ都应该作为一种测试情况