CC语言安全编程规范V精编版.docx

CC语言安全编程规范V精编版.docx

《CC语言安全编程规范V精编版.docx》由会员分享，可在线阅读，更多相关《CC语言安全编程规范V精编版.docx（88页珍藏版）》请在冰豆网上搜索。

CC语言安全编程规范V精编版

公司内部编号：

（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-9018）

CC语言安全编程规范V

华为技术有限公司内部技术规范

DKBA6914-2013.05

C&C++语言安全编程规范

2013年05月07日发布2013年05月07日实施

华为技术有限公司

HuaweiTechnologiesCo.,Ltd.

版权所有XX

修订声明

本规范拟制与解释部门：

网络安全技术能力中心

本规范的相关系列规范或文件：

《Java语言安全编程规范》《Web应用安全开发规范》

相关国际规范或文件一致性：

无

替代或作废的其它规范或文件：

无

相关规范或文件的相互关系：

本规范作为《C语言编程规范》和《C++语言编程规范》安全性要求的补充和扩展。

规范号

主要起草部门专家

主要评审部门专家

修订情况

DKBA6914-2013.05

电信软件与核心网：

陈辉军00190784

无线产品线：

肖飞龙00051938

网络产品线：

魏建雄00222905

IT产品线：

熊华梁00106214

中央软件院：

朱楚毅00217543、

林水平00109837、周强00048368、辛威00176185、

鞠章蕾00040951、谢青00101378

中央硬件院：

刘永合00222758

终端公司：

杨棋斌00060469

企业网络：

黄凯进00040281、

企业SecoSpace：

王瑾

中央软件院：

黄茂青00057072、卢峰00210300

网络产品线：

李强00203020、罗天00062283、廖永强00111217、任志清00048956、李海蛟00040826、陈璟00222879、勾国凯00048893、范佳甲00109753

中央硬件院：

刘崇山00159994、施文超00109740

企业网络：

李有永

IT产品线：

李显才00044635、何昌军00061280

能力中心：

郭曙光00121837

网络安全实验室：

林结斌00206214

电信软件与核心网：

朱刚00192988

无线产品线：

李瀛00130531、王爱成00223009、杨彬00065941、于继万00052142、解然00234688

V1.0

C&C++语言安全编程规范

1规范制定说明

1.1前言

随着公司业务发展，越来越多的产品被公众、互联网所熟知，并成为安全研究组织的研究对象、黑客的漏洞挖掘目标，容易引起安全问题。

安全问题影响的不只是单个产品，甚至有可能影响到公司整体声誉。

产品安全涉及需求、设计、实现、部署多个环节，实现的安全是产品安全的重要一环。

为了帮助产品开发团队编写安全的代码，减少甚至规避由于编码错误引入安全风险，特制定本规范。

《C&C++语言安全编程规范》参考业界安全编码的研究成果，并结合产品编码实践的经验总结，针对C/C++语言编程中的字符串操作、整数操作、内存管理、文件操作、STL库使用等方面，描述可能导致安全漏洞或潜在风险的常见错误。

以期减少缓冲区溢出、整数溢出、格式化字符串攻击、命令注入攻击、目录遍历等典型安全问题。

1.2使用对象

本规范的读者及使用对象主要为使用C和C++语言的开发人员、测试人员等。

1.3适用范围

本规范适合于公司基于C或C++语言开发的产品。

1.4术语定义

原则:

编程时必须遵守的指导思想。

规则：

编程时必须遵守的约定。

建议：

编程时必须加以考虑的约定。

说明：

对此原则/规则/建议进行必要的解释。

错误示例：

对此原则/规则/建议从反面给出例子。

推荐做法：

对此原则/规则/建议从正面给出例子。

延伸阅读材料：

建议进一步阅读的参考材料。

2通用原则

原则1.1：

对外部输入进行校验

说明：

对于外部输入（包括用户输入、外部接口输入、配置文件、网络数据和环境变量等）可能用于以下场景的情况下，需要检验入参的合法性：

输入会改变系统状态

输入作为循环条件

输入作为数组下标

输入作为内存分配的尺寸参数

输入作为格式化字符串

输入作为业务数据（如作为命令执行参数、拼装sql语句、以特定格式持久化）

输入影响代码逻辑

这些情况下如果不对用户数据作合法性验证，很可能导致DoS、内存越界、格式化字符串漏洞、命令注入、SQL注入、缓冲区溢出、数据破坏等问题。

对外部输入验证常见有如下几种方式：

（1）校验输入数据长度：

如果输入数据是字符串，通过校验输入数据的长度可以加大攻击者实施攻击的难度，从而防止缓冲区溢出、恶意代码注入等漏洞。

（2）校验输入数据的范围：

如果输入数据是数值，必须校验数值的范围是否正确，是否合法、在有效值域内，例如在涉及到内存分配、数组操作、循环条件、计算等安全操作时，若没有进行输入数值有效值域的校验，则可能会造成内存分配失败、数组越界、循环异常、计算错误等问题，这可能会被攻击者利用并进行进一步的攻击。

（3）输入验证前，对数据进行归一化处理以防止字符转义绕过校验：

通过对输入数据进行归一化处理（规范化，按照常用字符进行编码），彻底去除元字符，可以防止字符转义绕过相应的校验而引起的安全漏洞。

（4）输入校验应当采用“白名单”形式：

“黑名单”和“白名单”是进行数据净化的两种途径。

“黑名单”尝试排斥无效的输入，而“白名单”则通过定义一个可接受的字符列表，并移除任何不接受的字符来仅仅接受有效的输入。

有效输入值列表通常是一个可预知的、定义良好的集合，并且其大小易于管理。

“白名单”的好处在于，程序员可以确定一个字符串中仅仅包含他认为安全的字符。

“白名单”比“黑名单”更受推荐的原因是，程序员不必花力气去捕捉所有不可接受的字符，只需确保识别了可接受的字符就可以了。

这样一来，程序员就不用绞尽脑汁去考虑攻击者可能尝试哪些字符来绕过检查。

原则1.2：

禁止在日志中保存口令、密钥

说明：

在日志中不能保存口令和密钥，其中的口令包括明文口令和密文口令。

对于敏感信息建议采取以下方法，

不打印在日志中；

若因为特殊原因必须要打印日志，则用“*”代替。

原则1.3：

及时清除存储在可复用资源中的敏感信息

说明：

存储在可复用资源中的敏感信息如果没有正确的清除则很有可能被低权限用户或者攻击者所获取和利用。

因此敏感信息在可复用资源中保存应该遵循存储时间最短原则。

可复用资源包括以下几个方面：

堆（heap）

栈（stack）

数据段（datasegment）

数据库的映射缓存

存储口令、密钥的变量使用完后必须显式覆盖或清空。

原则1.4：

正确使用经过验证的安全的标准加密算法

说明：

禁用私有算法或者弱加密算法（如DES，SHA1等），应该使用经过验证的、安全的、公开的加密算法。

加密算法分为对称加密算法和非对称加密算法。

推荐使用的常用对称加密算法有:

AES

推荐使用的常用非对称算法有:

RSA

数字签名算法（DSA）

此外还有验证消息完整性的安全哈希算法（SHA256）等。

基于哈希算法的口令安全存储必须加入盐值（salt）。

密钥长度符合最低安全要求：

AES：

128位

RSA：

2048位

DSA：

1024位

SHA：

256位

原则1.5：

遵循最小权限原则

说明：

程序在运行时可能需要不同的权限，但对于某一种权限不需要始终保留。

例如，一个网络程序可能需要超级用户权限来捕获原始网络数据包，但是在执行数据报分析等其它任务时，则可能不需要相同的权限。

因此程序在运行时只分配能完成其任务的最小权限。

过高的权限可能会被攻击者利用并进行进一步的攻击。

（1）撤销权限时应遵循正确的撤销顺序：

在涉及到set-user-ID和set-group-ID程序中，当有效的用户ID（userID）和组ID（groupID）与真实的用户不同时，不但要撤销用户层面（userlevel）的权限而且要撤销组层面（grouplevel）的权限。

在进行这样的操作时，要保证撤销顺序的正确性。

权限撤销顺序的不正确操作，可能会被攻击者获得过高的权限而进行进一步的攻击。

（2）完成权限撤销操作后，应确保权限撤销成功：

不同平台下所谓的“适当的权限”的意义是不相同的。

例如在Solaris中，setuid（）的适当的权限指的是PRIV_PROC_SETID权限在进程的有效权限集中。

在BSD中意味着有效地用户ID（EUID）为0或者uid=geteuid（）。

而在Linux中，则是指进程具有CAP_SETUID能力并且当EUID不等于0、真正的用户ID（RUID）或者已保存的set-userID（SSUID）中任何一个时，setuid（geteuid（））是失败的。

原则1.6：

删除或修改没有效果的代码

说明：

删除或修改一些即使执行后、也不会有任何效果的代码。

一些存在的代码（声明或表达式），即使它被执行后，也不会对代码的结果或数据的状态产生任何的影响，或者产生不是所预期的效果，这样的代码在可能是由于编码错误引起的，往往隐藏着逻辑上的错误。

原则1.7：

删除或修改没有使用到的变量或值

说明：

删除或修改没有使用到的变量或值。

一些变量或值存在于代码里，但并没有被使用到，这可能隐含着逻辑上的错误，需要被识别出来，删除这类语句或做相应的修改。

3字符串操作安全

规则2.1：

确保有足够的空间存储字符串的字符数据和’\0’结束符

说明：

在分配内存或者在执行字符串复制操作时，除了要保证足够的空间可以容纳字符数据，还要预留’\0’结束符的空间，否则会造成缓冲区溢出。

错误示例1：

拷贝字符串时，源字符串长度可能大于目标数组空间。

voidmain（intargc,char*argv[]）

{

chardst[128];

if（argc>1）

{

strcpy（dst,argv[1]）;//源字符串长度可能大于目标数组空间，造成缓冲区溢出

}

/*…*/

}

推荐做法：

根据源字符串长度来为目标字符串分配空间。

voidmain（intargc,char*argv[]）

{

char*dst=NULL;

if（argc>1）

{

dst=（char*）malloc（strlen（argv[1]）+1）;/*【修改】确保字符串空间足够容纳argv[1]*/

if（dst!

=NULL）

{

strncpy（dst,argv[1],strlen（argv[1]））;

dst[strlen（argv[1]）]=’\0’;//【修改】dst以’\0’结尾

}

}

/*...dst使用后free...*/

}

错误示例2：

典型的差一错误，未考虑’\0’结束符写入数组的位置，造成缓冲区溢出和内存改写。

voidNoCompliant（）

{

chardst[ARRAY_SIZE+1];

charsrc[ARRAY_SIZE+1];

unsignedinti=0;

memset（src,'@',sizeof（dst））;

for（i=0;src[i]!

=’\0’&&（i

dst[i]=src[i];

dst[i]=’\0’;

/*…*/

}

推荐做法：

voidCompliant（）

{

chardst[ARRAY_SIZE+1];

charsrc[ARRAY_SIZE+1];

unsignedinti=0;

memset（src,'@',sizeof（dst））;

for（i=0;src[i]!

=’\0’&&（i

dst[i]=src[i];

dst[i]=’\0’;

/*…*/

}

规则2.2：

字符串操作过程中确保字符串有’\0’结束符

说明：

字符串结束与否是以’\0’作为标志的。

没有正确地使用’\0’结束字符串可能导致字符串操作时发生缓冲区溢出。

因此对于字符串或字符数组的定义、设置、复制等操作，要给’\0’预留空间，并保证字符串有’\0’结束符。

注意：

strncpy、strncat等带n版本的字符串操作函数在源字符串长度超出n标识的长度时，会将包括’\0’结束符在内的超长字符串截断，导致’\0’结束符丢失。

这时需要手动为目标字符串设置’\0’结束符。

错误示例1：

strlen（）不会将’\0’结束符算入长度，配合memcpy使用时会丢失’\0’结束符。

voidNoncompliant（）

{

chardst[11];

charsrc[]=;

char*tmp=NULL;

memset（dst,'@',sizeof（dst））;

memcpy（dst,src,strlen（src））;

printf（"src:

%s\r\n",src）;

tmp=dst;//到此，dst还没有以’\0’结尾

do

{

putchar（*tmp）;

}while（*tmp++）;//访问越界

return;

}

推荐做法：

为目标字符串设置’\0’结束符

voidCompliant（）

{

chardst[11];

charsrc[]=;

char*tmp=NULL;

memset（dst,'@',sizeof（dst））;

memcpy（dst,src,strlen（src））;

dst[sizeof（dst）-1]=’\0’;//【修改】dst以’\0’结尾

printf（"src:

%s\r\n",src）;

tmp=dst;

do

{

putchar（*tmp）;

}while（*tmp++）;

return;

}

错误示例2：

strncpy（）拷贝限长字符串，截断了’\0’结束符。

voidNoncompliant（）

{

chardst[5];

charsrc[]=;

strncpy（dst,src,sizeof（dst））;

printf（dst）;//访问越界，dst没有’\0’结束符

return;

}

推荐做法：

voidCompliant（）

{

chardst[5];

charsrc[]=;

strncpy（dst,src,sizeof（dst））;

dst[sizeof（dst）-1]=’\0’;//【修改】最后字节置为’\0’

printf（dst）;

return;

}

规则2.3：

把数据复制到固定长度的内存前必须检查边界

说明：

将未知长度的数据复制到固定长度的内存空间可能会造成缓冲区溢出，因此在进行复制之前应首先获取并检查数据长度。

典型的如来自gets（）、getenv（）、scanf（）的字符串。

错误示例：

输入消息长度不可预测，不加检查的复制会造成缓冲区溢出。

voidNoncompliant（）

{

chardst[16];

char*temp=getInputMsg（）;

if（temp!

=NULL）

{

strcpy（dst,temp）;//temp长度可能超过dst的大小

}

return;

}

推荐做法：

voidCompliant（）

{

chardst[16];

char*temp=getInputMsg（）;

if（temp!

=NULL）

{

strncpy（dst,temp,sizeof（dst））;/*【修改】只复制不超过数组dst大小的数据*/

}

dst[sizeof（dst）-1]=’\0’;//【修改】copy以’\0’结尾

return;

}

规则2.4：

避免字符串/内存操作函数的源指针和目标指针指向内存重叠区

说明：

内存重叠区是指一段确定大小及地址的内存区，该内存区被多个地址指针指向或引用，这些指针介于首地址和尾地址之间。

在使用像memcpy、strcpy、strncpy、sscanf（）、sprintf（）、snprintf（）和wcstombs（）这样的函数时，复制重叠对象会存在未定义的行为，这种行为可能破坏数据的完整性。

错误示例1：

snprintf的参数使用存在问题

voidNoncompliant（）

{

#defineMAX_LEN1024

charcBuf[MAX_LEN+1]={0};

intnPid=0;

strncpy（cBuf,”HelloWorld!

”,strlen（”HelloWorld!

”））;

snprintf（cBuf,MAX_LEN,"%d:

%s",nPid,cBuf）;/*cBuf既是源又是目标，函数使用不安全*/

return;

}

推荐做法：

使用不同源和目标缓冲区来实现复制功能。

voidCompliant（）

{

#defineMAX_LEN1024

charcBuf[MAX_LEN+1]={0};

charcDesc[MAX_LEN+1]={0};//【修改】另起一个缓冲区，防止缓冲区重叠出错

intnPid=0;

strncpy（cDesc,”HelloWorld!

”,strlen（”HelloWorld!

”））;/*【修改】防止缓冲区重叠出错*/

snprintf（cBuf,MAX_LEN,"%d:

%s",nPid,cDesc）;/*【修改】防止缓冲区重叠出错*/

return;

}

错误示例2：

#defineMSG_OFFSET3

#defineMSG_SIZE6

voidNoCompliant（）

{

charstr[]="teststring";

char*ptr1=str;

char*ptr2;

ptr2=ptr1+MSG_OFFSET;

memcpy（ptr2,ptr1,MSG_SIZE）;

return;

}

推荐做法：

使用memmove函数，源字符串和目标字符串所指内存区域可以重叠，但复制后目标字符串内容会被更改，该函数将返回指向目标字符串的指针。

#defineMSG_OFFSET3

#defineMSG_SIZE6

voidCompliant（）

{

charstr[]="teststring";

char*ptr1=str;

char*ptr2;

ptr2=ptr1+MSG_OFFSET;

memmove（ptr2,ptr1,MSG_SIZE）;/*【修改】使用memmove代替memcpy，防止缓冲区重叠出错*/

return;

}

memcpy与memmove的目的都是将N个字节的源内存地址的内容拷贝到目标内存地址中。

但当源内存和目标内存存在重叠时，memcpy会出现错误，而memmove能正确地实施拷贝，但这也增加了一点点开销。

memmove的处理措施：

当源内存的首地址等于目标内存的首地址时，不进行任何拷贝

当源内存的首地址大于目标内存的首地址时，实行正向拷贝

当源内存的首地址小于目标内存的首地址时，实行反向拷贝

4格式化输出安全

规则3.1：

格式化输出函数的格式化参数和实参类型必须匹配

说明：

使用格式化字符串应该小心，确保格式字符和参数在数据类型上的匹配。

格式字符和参数之间的不匹配会导致未定义的行为。

大多数情况下，不正确的格式化字符串会可能会导致格式化漏洞，使程序异常终止。

错误示例1：

格式字符和参数的类型不匹配

voidNoncompliant_ArgMismatch（）

{

char*error_msg="Resourcenotavailabletouser.";

interror_type=3;

/*...dosomething...*/

printf（"Error（type%s）:

%d\n",error_type,error_msg）;/*【错误】格式化参数类型不匹配*/

}

推荐做法：

voidNoncompliant_ArgMismatch（）

{

char*error_msg="Resourcenotavailabletouser.";

interror_type=3;

/*...dosomething...*/

printf（"Error（type%s）:

%d\n",error_msg,error_type）;/*【修改】匹配格式化参数类型*/

}

错误示例2：

将结构体作为参数

voidNoncompliant_StructAsArg（）

{

structsParam

{

intnum;

charmsg[100];

intresult;

};

structsParamtmp={10,"helloBaby!

",0};

char*errormsg="Resourcenotavailabletouser.";

interrortype=3;

/*...dosomething...*/

if（tmp.result==0）

{

printf（"ErrorParam:

%s\n",tmp）;/*【错误】不能将整个结构体作为格式化参数*/

}

}

推荐做法：

voidNoncompliant_StructAsArg（）

{

structsParam

{

intnum;

charmsg[100];

intresult;

};

structsParamtmp={10,"helloBaby!

",0};

char*errormsg="Resourcenotavailabletouser.";

interrortype=3;

/*...dosomething...*/

if（tmp.result==0）

{

printf（"ErrorParam:

num=%d,msg=%s,result=%d\n",tmp.num,tmp.msg,tmp.result）;//【修改】将结构体的内部变量作为格式化参数

}

}

规则3.2：

格式化输出函数的格式化参数和实参个数必须匹配

说明：

使用格式化字符串应该小心，确保格式字符和参数在数量上的匹配。

格式字符和参数之间的不匹配会导致未定义的行为。

大多数情况下，不正确的格式化字符串会导致程序异常终止。

错误示例：

格式字符和参数的数量不匹配，格式化字