2016下半年信息安全工程师下午真题加答案（五）

>>>>>【希赛】2016年下半年软考分数早知道，希赛网解析真题

    2016下半年信息安全工程师考试已经结束了，希赛小编为大家整理了信息安全工程师下午真题。

      试题五（共8分）

      阅读下列说明和代码，回答问题1和问题2，将解答卸载答题纸的对应栏内。

      【说明】

      某一本地口令验证函数（C语言环境，X86_32指令集）包含如下关键代码：某用户的口令保存在字符数组origPassword中，用户输入的口令保存在字符数组userPassword中，如果两个数组中的内容相同则允许进入系统。

      【问题1】（4分）

      用户在调用gets()函数时输入什么样式的字符串，可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制？

      【问题2】（4分）

      上述代码存在什么类型的安全隐患？请给出消除该安全隐患的思路。

      参考答案：

      【问题一】

      只要输入长度为24的字符串，其前12个字符和后12个字符一样即可。

      【问题二】

      gets（）函数必须保证输入长度不会超过缓冲区，一旦输入大于12个字符的口令就会造成缓冲区溢出。

      解决思路：使用安全函数来代替gets（）函数，或者对用户输入进行检查和校对，可通过if条件语句判断用户输入是否越界。

    返回目录：2016下半年信息安全工程师下午真题汇总

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。