CC语言安全编程规范V.docx

该【CC语言安全编程规范V 】是由【我和我的猫呀】上传分享，文档一共【57】页，该文档可以免费在线阅读，需要了解更多关于【CC语言安全编程规范V 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。华为技术有限公司内部技术规范
DKBA6914-
C&C++语言安全编程规范
2013年05月07日发布2013年05月07日实施
华为技术有限公司
HuaweiTechnologiesCo.,Ltd.
版权所有侵权必究
修订声明
本规范拟制与解释部门:
网络安全技术能力中心
本规范的相关系列规范或文件:
Java语言安全编程规范Web应用安全开发规范
相关国际规范或文件一致性:
无
替代或作废的其它规范或文件:
无
相关规范或文件的相互关系:
本规范作为C语言编程规范和C++语言编程规范安全性要求的补充和扩展;
规范号
主要起草部门专家
主要评审部门专家
修订情况
DKBA6914-
网络安全能力中心:罗东67107、于鹏00210657
电信软件与核心网:陈辉军00190784
无线产品线:肖飞龙 00051938
网络产品线:魏建雄00222905
IT产品线:熊华梁00106214
中央软件院:朱楚毅 00217543、
林水平00109837、周强00048368、辛威00176185、
鞠章蕾00040951、谢青00101378
中央硬件院:刘永合 00222758
终端公司:杨棋斌00060469
企业网络:黄凯进00040281、
企业SecoSpace:王瑾
中央软件院:黄茂青00057072、卢峰00210300
网络产品线:李强00203020、罗天00062283、廖永强00111217、任志清00048956、李海蛟00040826、陈璟00222879、勾国凯00048893、范佳甲00109753
中央硬件院:刘崇山00159994、施文超00109740
企业网络:李有永
IT产品线:李显才00044635、何昌军00061280
能力中心:郭曙光00121837
网络安全实验室:林结斌00206214
电信软件与核心网:朱刚00192988
无线产品线:李瀛00130531、王爱成00223009、杨彬00065941、于继万00052142、解然00234688

目录
C&C++语言安全编程规范
规范制定说明
前言
随着公司业务发展,越来越多的产品被公众、互联网所熟知,并成为安全研究组织的研究对象、黑客的漏洞挖掘目标,容易引起安全问题;安全问题影响的不只是单个产品,甚至有可能影响到公司整体声誉;产品安全涉及需求、设计、实现、部署多个环节,实现的安全是产品安全的重要一环;为了帮助产品开发团队编写安全的代码,减少甚至规避由于编码错误引入安全风险,特制定本规范;
C&C++语言安全编程规范参考业界安全编码的研究成果,并结合产品编码实践的经验总结,针对C/C++语言编程中的字符串操作、整数操作、内存管理、文件操作、STL库使用等方面,描述可能导致安全漏洞或潜在风险的常见错误;以期减少缓冲区溢出、整数溢出、格式化字符串攻击、命令注入攻击、目录遍历等典型安全问题;
使用对象
本规范的读者及使用对象主要为使用C和C++语言的开发人员、测试人员等;
适用范围
本规范适合于公司基于C或C++语言开发的产品;
术语定义
原则:编程时必须遵守的指导思想;
规则:编程时必须遵守的约定;
建议:编程时必须加以考虑的约定;
说明:对此原则/规则/建议进行必要的解释;
错误示例:对此原则/规则/建议从反面给出例子;
推荐做法:对此原则/规则/建议从正面给出例子;
延伸阅读材料:建议进一步阅读的参考材料;
通用原则
:对外部输入进行校验
说明:对于外部输入包括用户输入、外部接口输入、配置文件、网络数据和环境变量等可能用于以下场景的情况下,需要检验入参的合法性:
输入会改变系统状态
输入作为循环条件
输入作为数组下标
输入作为内存分配的尺寸参数
输入作为格式化字符串
输入作为业务数据如作为命令执行参数、拼装sql语句、以特定格式持久化
输入影响代码逻辑
这些情况下如果不对用户数据作合法性验证,很可能导致DoS、内存越界、格式化字符串漏洞、命令注入、SQL注入、缓冲区溢出、数据破坏等问题;
对外部输入验证常见有如下几种方式:
1校验输入数据长度:
如果输入数据是字符串,通过校验输入数据的长度可以加大攻击者实施攻击的难度,从而防止缓冲区溢出、恶意代码注入等漏洞;
2校验输入数据的范围:
如果输入数据是数值,必须校验数值的范围是否正确,是否合法、在有效值域内,例如在涉及到内存分配、数组操作、循环条件、计算等安全操作时,若没有进行输入数值有效值域的校验,则可能会造成内存分配失败、数组越界、循环异常、计算错误等问题,这可能会被攻击者利用并进行进一步的攻击;
3输入验证前,对数据进行归一化处理以防止字符转义绕过校验:
通过对输入数据进行归一化处理规范化,按照常用字符进行编码,彻底去除元字符,可以防止字符转义绕过相应的校验而引起的安全漏洞;
4输入校验应当采用“白名单”形式:
“黑名单”和“白名单”是进行数据净化的两种途径;“黑名单”尝试排斥无效的输入,而“白名单”则通过定义一个可接受的字符列表,并移除任何不接受的字符来仅仅接受有效的输入;有效输入值列表通常是一个可预知的、定义良好的集合,并且其大小易于管理;
“白名单”的好处在于,程序员可以确定一个字符串中仅仅包含他认为安全的字符;
“白名单”比“黑名单”更受推荐的原因是,程序员不必花力气去捕捉所有不可接受的字符,只需确保识别了可接受的字符就可以了;这样一来,程序员就不用绞尽脑汁去考虑攻击者可能尝试哪些字符来绕过检查;
:禁止在日志中保存口令、密钥
说明:在日志中不能保存口令和密钥,其中的口令包括明文口令和密文口令;对于敏感信息建议采取以下方法,
不打印在日志中;
若因为特殊原因必须要打印日志,则用“”代替;
:及时清除存储在可复用资源中的敏感信息
说明:存储在可复用资源中的敏感信息如果没有正确的清除则很有可能被低权限用户或者攻击者所获取和利用;因此敏感信息在可复用资源中保存应该遵循存储时间最短原则;可复用资源包括以下几个方面:
堆heap
栈stack
数据段datasegment
数据库的映射缓存
存储口令、密钥的变量使用完后必须显式覆盖或清空;
:正确使用经过验证的安全的标准加密算法
说明:禁用私有算法或者弱加密算法如DES,SHA1等,应该使用经过验证的、安全的、公开的加密算法;
加密算法分为对称加密算法和非对称加密算法;推荐使用的常用对称加密算法有:
AES
推荐使用的常用非对称算法有:
RSA
数字签名算法DSA
此外还有验证消息完整性的安全哈希算法SHA256等;基于哈希算法的口令安全存储必须加入盐值salt;
密钥长度符合最低安全要求:
AES:128位
RSA:2048位
DSA:1024位
SHA:256位
:遵循最小权限原则
说明:程序在运行时可能需要不同的权限,但对于某一种权限不需要始终保留;例如,一个网络程序可能需要超级用户权限来捕获原始网络数据包,但是在执行数据报分析等其它任务时,则可能不需要相同的权限;因此程序在运行时只分配能完成其任务的最小权限;过高的权限可能会被攻击者利用并进行进一步的攻击;
1撤销权限时应遵循正确的撤销顺序:
在涉及到set-user-ID和set-group-ID程序中,当有效的用户IDuserID和组IDgroupID与真实的用户不同时,不但要撤销用户层面userlevel的权限而且要撤销组层面grouplevel的权限;在进行这样的操作时,要保证撤销顺序的正确性;
权限撤销顺序的不正确操作,可能会被攻击者获得过高的权限而进行进一步的攻击;
2完成权限撤销操作后,应确保权限撤销成功:
不同平台下所谓的“适当的权限”的意义是不相同的;例如在Solaris中,setuid的适当的权限指的是PRIV_PROC_SETID权限在进程的有效权限集中;在BSD中意味着有效地用户IDEUID为0或者uid=geteuid;而在Linux中,则是指进程具有CAP_SETUID能力并且当EUID不等于0、真正的用户IDRUID或者已保存的set-userIDSSUID中任何一个时,setuidgeteuid是失败的;
:删除或修改没有效果的代码
说明:删除或修改一些即使执行后、也不会有任何效果的代码;
一些存在的代码声明或表达式,即使它被执行后,也不会对代码的结果或数据的状态产生任何的影响,或者产生不是所预期的效果,这样的代码在可能是由于编码错误引起的,往往隐藏着逻辑上的错误;
:删除或修改没有使用到的变量或值
说明:删除或修改没有使用到的变量或值;一些变量或值存在于代码里,但并没有被使用到,这可能隐含着逻辑上的错误,需要被识别出来,删除这类语句或做相应的修改;
字符串操作安全
:确保有足够的空间存储字符串的字符数据和’\0’结束符
说明:在分配内存或者在执行字符串复制操作时,除了要保证足够的空间可以容纳字符数据,还要预留’\0’结束符的空间,否则会造成缓冲区溢出;
错误示例1:拷贝字符串时,源字符串长度可能大于目标数组空间;
voidmainintargc,charargv
{
chardst128;
ifargc>1
{
strcpydst,argv1;//源字符串长度可能大于目标数组空间,造成缓冲区溢出
}
/…/
}
推荐做法:根据源字符串长度来为目标字符串分配空间;
voidmainintargc,charargv
{
chardst=NULL;
ifargc>1
{
dst=charmallocstrlenargv1+1;/修改确保字符串空间足够容纳argv1/
ifdst=NULL
{
strncpydst,argv1,strlenargv1;
dststrlenargv1=’\0’;//修改dst以’\0’结尾
}
}
/...dst使用后free.../
}
错误示例2:典型的差一错误,未考虑’\0’结束符写入数组的位置,造成缓冲区溢出和内存改写;
voidNoCompliant
{
chardstARRAY_SIZE+1;
charsrcARRAY_SIZE+1;
unsignedinti=0;
memsetsrc,'',sizeofdst;
fori=0;srci=’\0’&&i<sizeofdst;++i
dsti=srci;
dsti=’\0’;
/…/
}
推荐做法:
voidCompliant
{
chardstARRAY_SIZE+1;
charsrcARRAY_SIZE+1;
unsignedinti=0;
memsetsrc,'',sizeofdst;
fori=0;srci=’\0’&&i<sizeofdst-1;++i/修改考虑’\0’结束符/
dsti=srci;
dsti=’\0’;
/…/
}
:字符串操作过程中确保字符串有’\0’结束符
说明:字符串结束与否是以’\0’作为标志的;没有正确地使用’\0’结束字符串可能导致字符串操作时发生缓冲区溢出;因此对于字符串或字符数组的定义、设置、复制等操作,要给’\0’预留空间,并保证字符串有’\0’结束符;
注意:strncpy、strncat等带n版本的字符串操作函数在源字符串长度超出n标识的长度时,会将包括’\0’结束符在内的超长字符串截断,导致’\0’结束符丢失;这时需要手动为目标字符串设置’\0’结束符;
错误示例1:strlen不会将’\0’结束符算入长度,配合memcpy使用时会丢失’\0’结束符;
voidNoncompliant
{
chardst11;
charsrc=;
chartmp=NULL;
memsetdst,'',sizeofdst;
memcpydst,src,strlensrc;
printf"src:%s\r\n",src;
tmp=dst;//到此,dst还没有以’\0’结尾
do
{
putchartmp;
}whiletmp++;//访问越界
return;
}
推荐做法:为目标字符串设置’\0’结束符
voidCompliant
{
chardst11;
charsrc=;
chartmp=NULL;
memsetdst,'',sizeofdst;
memcpydst,src,strlensrc;
dstsizeofdst-1=’\0’; //修改dst以’\0’结尾
printf"src:%s\r\n",src;
tmp=dst;
do
{
putchartmp;
}whiletmp++;
return;
}
错误示例2:strncpy拷贝限长字符串,截断了’\0’结束符;
voidNoncompliant
{
chardst5;
charsrc=;
strncpydst,src,sizeofdst;
printfdst;//访问越界,dst没有’\0’结束符
return;
}
推荐做法:
voidCompliant
{
chardst5;
charsrc=;
strncpydst,src,sizeofdst;
dstsizeofdst-1=’\0’;//修改最后字节置为’\0’
printfdst;
return;
}