信息安全工程師案例分析當天每日一練試題地址：www.xomuzic.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.xomuzic.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/2/11）在線測試：www.xomuzic.com/exam/ExamDayAL.aspx?t1=6&day=2022/2/11

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2022/2/11）

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應欄內。
【說明】
某一本地口令驗證函數（C語言環(huán)境，X86_32指令集）包含如下關鍵代碼：某用戶的口令保存在字符數組origPassword中，用戶輸入的口令保存在字符數組userPassword中，如果兩個數組中的內容相同則允許進入系統(tǒng)。

【問題1】（4分）
用戶在調用gets()函數時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數的限制？
【問題2】（4分）
上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

信管網cnitpm493202373597：
只要輸入長度為24的字符串，前12個字符和后12個字符一樣 必須保證輸入長度不會超過緩沖區(qū)，一旦輸入超過12字符的口令就會導致緩沖區(qū)溢出 使用安全函數來代替

信管網ipａｎｄa：
輸入24字符，前12位和后12保持一致即可 緩沖區(qū)溢出 1.使用安全函數fgets 代替不安全函數 2. 對用戶輸入字符進行驗證限制 3.用if判斷用戶輸入是否越界

信管網ipａｎｄa：
1、超過24位字符數，其中前12位跟后12位需要一樣即可。 2、安全隱患：緩沖區(qū)溢出 消除思路：1.使用安全函數fgets代替gets函數 2.設置對用戶輸入信息檢查，包括字符數信息等，防止溢出 3.使用if語句判斷是否越界