代码安全课堂⼁第⼋期:Switch中缺少default导致的代码缺陷
漏洞
1、什么是Switch中缺少default导致的代码缺陷?
switch⽤在编程中,如C语⾔中它经常跟case⼀起使⽤,是⼀个判断选择逻辑结构。其功能就是控制流程流转。switch语句的语法如下(switch,case,break和default是关键字):
switch ( 变量表达式 )
{
case 常量1 :语句;break;
case 常量2 :语句;break;
switch case判断字符串case 常量3 :语句;break;
...
case 常量n:语句;break;
default :语句;break;
}
当变量表达式所表达的量与其中⼀个case语句中的常量相符时,就执⾏此case语句后⾯的语句,并依次下去执⾏后⾯所有case语句中的语句,遇到break则中断并跳出当前case分⽀执⾏语句。如果常量表达式的量与所有case语句的常量值都不相符,则执⾏default语句中的语句。
那代码在switch语句中没有default语句,这可能会导致复杂的逻辑问题并由此产⽣安全隐患。此缺陷代表了软件开发中的常见问题,其中并⾮所有可能的变量值都由给定过程考虑或处理。因此,根据不良信息做出进⼀步的决策,并导致级联故障。这种级联故障可能会导致许多安全问题,并构成系统中的重⼤故障。
2、Switch中缺少default导致的代码缺陷构成条件有哪些?
①switch语句没有default情况。
3、Switch中缺少default导致的代码缺陷会造成哪些后果?
关键字:改变程序执⾏逻辑;
①当switch中的逻辑进⾏数据检查等,攻击者可以注⼊不执⾏任何case分⽀的数据,则攻击者可以绕过安全检查,或导致程序处理逻辑上错误。
4、Switch中缺少default导致的缺陷防范和修补⽅法有哪些?
①switch语句中应该添加default标签;
②在⼀些情况下,default应该作为检查⽆效输⼊的情况,⽽不应该作为⼀个表⽰假定的选项。
5、Switch中缺少default导致的漏洞样例:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。