CC++语言安全编程规范V10.docx
《CC++语言安全编程规范V10.docx》由会员分享,可在线阅读,更多相关《CC++语言安全编程规范V10.docx(90页珍藏版)》请在冰豆网上搜索。
CC++语言安全编程规范V10
华为技术有限公司内部技术规范
DKBA6914-2013.05
C&C++语言安全编程规范
2013年05月07日发布2013年05月07日实施
华为技术有限公司
HuaweiTechnologiesCo.,Ltd.
版权所有XX
修订声明
本规范拟制与解释部门:
网络安全技术能力中心
本规范的相关系列规范或文件:
《Java语言安全编程规范》《Web应用安全开发规范》
相关国际规范或文件一致性:
无
替代或作废的其它规范或文件:
无
相关规范或文件的相互关系:
本规范作为《C语言编程规范》和《C++语言编程规范》安全性要求的补充和扩展。
规范号
主要起草部门专家
主要评审部门专家
修订情况
DKBA6914-2013.05
网络安全能力中心:
罗东67107、于鹏00210657
电信软件与核心网:
陈辉军00190784
无线产品线:
肖飞龙00051938
网络产品线:
魏建雄00222905
IT产品线:
熊华梁00106214
中央软件院:
朱楚毅00217543、
林水平00109837、周强00048368、辛威00176185、
鞠章蕾00040951、谢青00101378
中央硬件院:
刘永合00222758
终端公司:
杨棋斌00060469
企业网络:
黄凯进00040281、
企业SecoSpace:
王瑾
中央软件院:
黄茂青00057072、卢峰00210300
网络产品线:
李强00203020、罗天00062283、廖永强00111217、任志清00048956、李海蛟00040826、陈璟00222879、勾国凯00048893、范佳甲00109753
中央硬件院:
刘崇山00159994、施文超00109740
企业网络:
李有永
IT产品线:
李显才00044635、何昌军00061280
能力中心:
郭曙光00121837
网络安全实验室:
林结斌00206214
电信软件与核心网:
朱刚00192988
无线产品线:
李瀛00130531、王爱成00223009、杨彬00065941、于继万00052142、解然00234688
V1.0
C&C++语言安全编程规范1
C&C++语言安全编程规范6
0规范制定说明6
0.1前言6
0.2使用对象6
0.3适用范围6
0.4术语定义6
1通用原则7
原则1.1:
对外部输入进行校验7
原则1.2:
禁止在日志中保存口令、密钥8
原则1.3:
及时清除存储在可复用资源中的敏感信息8
原则1.4:
正确使用经过验证的安全的标准加密算法8
原则1.5:
遵循最小权限原则9
原则1.6:
删除或修改没有效果的代码9
原则1.7:
删除或修改没有使用到的变量或值9
2字符串操作安全10
规则2.1:
确保有足够的空间存储字符串的字符数据和’\0’结束符10
规则2.2:
字符串操作过程中确保字符串有’\0’结束符11
规则2.3:
把数据复制到固定长度的内存前必须检查边界13
规则2.4:
避免字符串/内存操作函数的源指针和目标指针指向内存重叠区13
3格式化输出安全15
规则3.1:
格式化输出函数的格式化参数和实参类型必须匹配15
规则3.2:
格式化输出函数的格式化参数和实参个数必须匹配17
规则3.3:
禁止以用户输入来构造格式化字符串17
建议3.1:
使用格式化函数时推荐使用精度说明符18
4整数安全19
规则4.1:
确保无符号整数运算时不会出现反转19
规则4.2:
确保有符号整数运算时不会出现溢出20
规则4.3:
确保整型转换时不会出现截断错误21
规则4.4:
确保整型转换时不会出现符号错误22
规则4.5:
把整型表达式比较或赋值为一种更大类型之前必须用这种更大类型对它进行求值23
建议4.1:
避免对有符号整数进行位操作符运算23
5内存管理安全24
规则5.1:
禁止引用未初始化的内存24
规则5.2:
禁止访问已经释放的内存25
规则5.3:
禁止重复释放内存27
规则5.4:
必须对指定申请内存大小的整数值进行合法性校验27
规则5.5:
禁止释放非动态申请的内存29
建议5.1:
避免使用alloca函数申请内存29
6禁用不安全函数或对象30
规则6.1:
禁止使用未显式指明目标缓冲区大小的字符串操作函数30
规则6.2:
禁止调用OS命令解析器执行命令或运行程序,防止命令注入32
规则6.3:
禁止使用std:
:
ostrstream,推荐使用std:
:
ostringstream33
规则6.4:
C++中,必须使用C++标准库替代C的字符串操作函数33
7文件输入/输出安全35
规则7.1:
必须使用int类型来接收字符输入/输出函数的返回值35
规则7.2:
创建文件时必须显式指定合适的文件访问权限36
规则7.3:
文件路径验证前,必须对其进行标准化36
建议7.1:
访问文件时尽量使用文件描述符代替文件名作为输入,以避免竞争条件问题37
8STL库安全38
规则8.1:
引用容器前后元素时要确保容器元素存在38
规则8.2:
迭代子使用前必须保证迭代子有效39
规则8.3:
必须确保迭代子指向的内容有效40
规则8.4:
正确处理容器的erase()方法与迭代子的关系41
9C++类和对象安全42
规则9.1:
禁止切分多态的类对象42
规则9.2:
禁止定义基类析构函数为非虚函数,所有可能被继承类的析构函数都必须定义为virtual44
规则9.3:
避免出现deletethis操作46
规则9.4:
禁止在类的公共接口中返回类的私有数据地址48
建议9.1:
重载后缀操作符应返回const类型49
建议9.2:
显式声明的模板类应进行类型特化50
10其它51
规则10.1:
禁止使用rand()产生用于安全用途的伪随机数51
规则10.2:
禁止存储getenv()返回的字符串指针55
规则10.3:
多线程环境下,禁止使用可能会导致crash的不安全函数56
建议10.1:
编译时应当使用编译器的最高警告等级60
建议10.2:
防止处理敏感数据的代码因被编译器优化而失效60
11参考资料62
C&C++语言安全编程规范
1规范制定说明
1.1前言
随着公司业务发展,越来越多的产品被公众、互联网所熟知,并成为安全研究组织的研究对象、黑客的漏洞挖掘目标,容易引起安全问题。
安全问题影响的不只是单个产品,甚至有可能影响到公司整体声誉。
产品安全涉及需求、设计、实现、部署多个环节,实现的安全是产品安全的重要一环。
为了帮助产品开发团队编写安全的代码,减少甚至规避由于编码错误引入安全风险,特制定本规范。
《C&C++语言安全编程规范》参考业界安全编码的研究成果,并结合产品编码实践的经验总结,针对C/C++语言编程中的字符串操作、整数操作、内存管理、文件操作、STL库使用等方面,描述可能导致安全漏洞或潜在风险的常见错误。
以期减少缓冲区溢出、整数溢出、格式化字符串攻击、命令注入攻击、目录遍历等典型安全问题。
1.2使用对象
本规范的读者及使用对象主要为使用C和C++语言的开发人员、测试人员等。
1.3适用范围
本规范适合于公司基于C或C++语言开发的产品。
1.4术语定义
原则:
编程时必须遵守的指导思想。
规则:
编程时必须遵守的约定。
建议:
编程时必须加以考虑的约定。
说明:
对此原则/规则/建议进行必要的解释。
错误示例:
对此原则/规则/建议从反面给出例子。
推荐做法:
对此原则/规则/建议从正面给出例子。
延伸阅读材料:
建议进一步阅读的参考材料。
2通用原则
原则1.1:
对外部输入进行校验
说明:
对于外部输入(包括用户输入、外部接口输入、配置文件、网络数据和环境变量等)可能用于以下场景的情况下,需要检验入参的合法性:
●输入会改变系统状态
●输入作为循环条件
●输入作为数组下标
●输入作为内存分配的尺寸参数
●输入作为格式化字符串
●输入作为业务数据(如作为命令执行参数、拼装sql语句、以特定格式持久化)
●输入影响代码逻辑
这些情况下如果不对用户数据作合法性验证,很可能导致DoS、内存越界、格式化字符串漏洞、命令注入、SQL注入、缓冲区溢出、数据破坏等问题。
对外部输入验证常见有如下几种方式:
(1)校验输入数据长度:
如果输入数据是字符串,通过校验输入数据的长度可以加大攻击者实施攻击的难度,从而防止缓冲区溢出、恶意代码注入等漏洞。
(2)校验输入数据的范围:
如果输入数据是数值,必须校验数值的范围是否正确,是否合法、在有效值域内,例如在涉及到内存分配、数组操作、循环条件、计算等安全操作时,若没有进行输入数值有效值域的校验,则可能会造成内存分配失败、数组越界、循环异常、计算错误等问题,这可能会被攻击者利用并进行进一步的攻击。
(3)输入验证前,对数据进行归一化处理以防止字符转义绕过校验:
通过对输入数据进行归一化处理(规范化,按照常用字符进行编码),彻底去除元字符,可以防止字符转义绕过相应的校验而引起的安全漏洞。
(4)输入校验应当采用“白名单”形式:
“黑名单”和“白名单”是进行数据净化的两种途径。
“黑名单”尝试排斥无效的输入,而“白名单”则通过定义一个可接受的字符列表,并移除任何不接受的字符来仅仅接受有效的输入。
有效输入值列表通常是一个可预知的、定义良好的集合,并且其大小易于管理。
“白名单”的好处在于,程序员可以确定一个字符串中仅仅包含他认为安全的字符。
“白名单”比“黑名单”更受推荐的原因是,程序员不必花力气去捕捉所有不可接受的字符,只需确保识别了可接受的字符就可以了。
这样一来,程序员就不用绞尽脑汁去考虑攻击者可能尝试哪些字符来绕过检查。
原则1.2:
禁止在日志中保存口令、密钥
说明:
在日志中不能保存口令和密钥,其中的口令包括明文口令和密文口令。
对于敏感信息建议采取以下方法,
●不打印在日志中;
●若因为特殊原因必须要打印日志,则用“*”代替。
原则1.3:
及时清除存储在可复用资源中的敏感信息
说明:
存储在可复用资源中的敏感信息如果没有正确的清除则很有可能被低权限用户或者攻击者所获取和利用。
因此敏感信息在可复用资源中保存应该遵循存储时间最短原则。
可复用资源包括以下几个方面:
●堆(heap)
●栈(stack)
●数据段(datasegment)
●数据库的映射缓存
存储口令、密钥的变量使用完后必须显式覆盖或清空。
原则1.4:
正确使用经过验证的安全的标准加密算法
说明:
禁用私有算法或者弱加密算法(如DES,SHA1等),应该使用经过验证的、安全的、公开的加密算法。
加密算法分为对称加密算法和非对称加密算法。
推荐使用的常用对称加密算法有:
●AES
推荐使用的常用非对称算法有:
●RSA
●数字签名算法(DSA)
此外还有验证消息完整性的安全哈希算法(SHA256)等。
基于哈希算法的口令安全存储必须加入盐值(salt)。
密钥长度符合最低安全要求:
●AES:
128位
●RSA:
2048位
●DSA:
1024位
●SHA:
256位
原则1.5:
遵循最小权限原则
说明:
程序在运行时可能需要不同的权限,但对于某一种权限不需要始终保留。
例如,一个网络程序可能需要超级用户权限来捕获原始网络数据包,但是在执行数据报分析等其它任务时,则可能不需要相同的权限。
因此程序在运行时只分配能完成其任务的最小权限。
过高的权限可能会被攻击者利用并进行进一步的攻击。
(1)撤销权限时应遵循正确的撤销顺序:
在涉及到set-user-ID和set-group-ID程序中,当有效的用户ID(userID)和组ID(groupID)与真实的用户不同时,不但要撤销用户层面(userlevel)的权限而且要撤销组层面(grouplevel)的权限。
在进行这样的操作时,要保证撤销顺序的正确性。
权限撤销顺序的不正确操作,可能会被攻击者获得过高的权限而进行进一步的攻击。
(2)完成权限撤销操作后,应确保权限撤销成功:
不同平台下所谓的“适当的权限”的意义是不相同的。
例如在Solaris中,setuid()的适当的权限指的是PRIV_PROC_SETID权限在进程的有效权限集中。
在BSD中意味着有效地用户ID(EUID)为0或者uid=geteuid()。
而在Linux中,则是指进程具有CAP_SETUID能力并且当EUID不等于0、真正的用户ID(RUID)或者已保存的set-userID(SSUID)中任何一个时,setuid(geteuid())是失败的。
原则1.6:
删除或修改没有效果的代码
说明:
删除或修改一些即使执行后、也不会有任何效果的代码。
一些存在的代码(声明或表达式),即使它被执行后,也不会对代码的结果或数据的状态产生任何的影响,或者产生不是所预期的效果,这样的代码在可能是由于编码错误引起的,往往隐藏着逻辑上的错误。
原则1.7:
删除或修改没有使用到的变量或值
说明:
删除或修改没有使用到的变量或值。
一些变量或值存在于代码里,但并没有被使用到,这可能隐含着逻辑上的错误,需要被识别出来,删除这类语句或做相应的修改。
3字符串操作安全
规则2.1:
确保有足够的空间存储字符串的字符数据和’\0’结束符
说明:
在分配内存或者在执行字符串复制操作时,除了要保证足够的空间可以容纳字符数据,还要预留’\0’结束符的空间,否则会造成缓冲区溢出。
错误示例1:
拷贝字符串时,源字符串长度可能大于目标数组空间。
voidmain(intargc,char*argv[])
{
chardst[128];
if(argc>1)
{
strcpy(dst,argv[1]);//源字符串长度可能大于目标数组空间,造成缓冲区溢出
}
/*…*/
}
推荐做法:
根据源字符串长度来为目标字符串分配空间。
voidmain(intargc,char*argv[])
{
char*dst=NULL;
if(argc>1)
{
dst=(char*)malloc(strlen(argv[1])+1);/*【修改】确保字符串空间足够容纳argv[1]*/
if(dst!
=NULL)
{
strncpy(dst,argv[1],strlen(argv[1]));
dst[strlen(argv[1])]=’\0’;//【修改】dst以’\0’结尾
}
}
/*...dst使用后free...*/
}
错误示例2:
典型的差一错误,未考虑’\0’结束符写入数组的位置,造成缓冲区溢出和内存改写。
voidNoCompliant()
{
chardst[ARRAY_SIZE+1];
charsrc[ARRAY_SIZE+1];
unsignedinti=0;
memset(src,'@',sizeof(dst));
for(i=0;src[i]!
=’\0’&&(idst[i]=src[i];
dst[i]=’\0’;
/*…*/
}
推荐做法:
voidCompliant()
{
chardst[ARRAY_SIZE+1];
charsrc[ARRAY_SIZE+1];
unsignedinti=0;
memset(src,'@',sizeof(dst));
for(i=0;src[i]!
=’\0’&&(idst[i]=src[i];
dst[i]=’\0’;
/*…*/
}
规则2.2:
字符串操作过程中确保字符串有’\0’结束符
说明:
字符串结束与否是以’\0’作为标志的。
没有正确地使用’\0’结束字符串可能导致字符串操作时发生缓冲区溢出。
因此对于字符串或字符数组的定义、设置、复制等操作,要给’\0’预留空间,并保证字符串有’\0’结束符。
注意:
strncpy、strncat等带n版本的字符串操作函数在源字符串长度超出n标识的长度时,会将包括’\0’结束符在内的超长字符串截断,导致’\0’结束符丢失。
这时需要手动为目标字符串设置’\0’结束符。
错误示例1:
strlen()不会将’\0’结束符算入长度,配合memcpy使用时会丢失’\0’结束符。
voidNoncompliant()
{
chardst[11];
charsrc[]=;
char*tmp=NULL;
memset(dst,'@',sizeof(dst));
memcpy(dst,src,strlen(src));
printf("src:
%s\r\n",src);
tmp=dst;//到此,dst还没有以’\0’结尾
do
{
putchar(*tmp);
}while(*tmp++);//访问越界
return;
}
推荐做法:
为目标字符串设置’\0’结束符
voidCompliant()
{
chardst[11];
charsrc[]=;
char*tmp=NULL;
memset(dst,'@',sizeof(dst));
memcpy(dst,src,strlen(src));
dst[sizeof(dst)-1]=’\0’;//【修改】dst以’\0’结尾
printf("src:
%s\r\n",src);
tmp=dst;
do
{
putchar(*tmp);
}while(*tmp++);
return;
}
错误示例2:
strncpy()拷贝限长字符串,截断了’\0’结束符。
voidNoncompliant()
{
chardst[5];
charsrc[]=;
strncpy(dst,src,sizeof(dst));
printf(dst);//访问越界,dst没有’\0’结束符
return;
}
推荐做法:
voidCompliant()
{
chardst[5];
charsrc[]=;
strncpy(dst,src,sizeof(dst));
dst[sizeof(dst)-1]=’\0’;//【修改】最后字节置为’\0’
printf(dst);
return;
}
规则2.3:
把数据复制到固定长度的内存前必须检查边界
说明:
将未知长度的数据复制到固定长度的内存空间可能会造成缓冲区溢出,因此在进行复制之前应首先获取并检查数据长度。
典型的如来自gets()、getenv()、scanf()的字符串。
错误示例:
输入消息长度不可预测,不加检查的复制会造成缓冲区溢出。
voidNoncompliant()
{
chardst[16];
char*temp=getInputMsg();
if(temp!
=NULL)
{
strcpy(dst,temp);//temp长度可能超过dst的大小
}
return;
}
推荐做法:
voidCompliant()
{
chardst[16];
char*temp=getInputMsg();
if(temp!
=NULL)
{
strncpy(dst,temp,sizeof(dst));/*【修改】只复制不超过数组dst大小的数据*/
}
dst[sizeof(dst)-1]=’\0’;//【修改】copy以’\0’结尾
return;
}
规则2.4:
避免字符串/内存操作函数的源指针和目标指针指向内存重叠区
说明:
内存重叠区是指一段确定大小及地址的内存区,该内存区被多个地址指针指向或引用,这些指针介于首地址和尾地址之间。
在使用像memcpy、strcpy、strncpy、sscanf()、sprintf()、snprintf()和wcstombs()这样的函数时,复制重叠对象会存在未定义的行为,这种行为可能破坏数据的完整性。
错误示例1:
snprintf的参数使用存在问题
voidNoncompliant()
{
#defineMAX_LEN1024
charcBuf[MAX_LEN+1]={0};
intnPid=0;
strncpy(cBuf,”HelloWorld!
”,strlen(”HelloWorld!
”));
snprintf(cBuf,MAX_LEN,"%d:
%s",nPid,cBuf);/*cBuf既是源又是目标,函数使用不安全*/
return;
}
推荐做法:
使用不同源和目标缓冲区来实现复制功能。
voidCompliant()
{
#defineMAX_LEN1024
charcBuf[MAX_LEN+1]={0};
charcDesc[MAX_LEN+1]={0};//【修改】另起一个缓冲区,防止缓冲区重叠出错
intnPid=0;
strncpy(cDesc,”HelloWorld!
”,strlen(”HelloWorld!
”));/*【修改】防止缓冲区重叠出错*/
snprintf(cBuf,MAX_LEN,"%d:
%s",nPid,cDesc);/*【修改】防止缓冲区重叠出错*/
return;
}
错误示例2:
#defineMSG_OFFSET3
#defineMSG_SIZE6
voidNoCompliant()
{
charstr[]="teststring";
char*ptr1=str;
char*ptr2;
ptr2=ptr1+MSG_OFFSET;
memcpy(ptr2,ptr1,MSG_SIZE);
return;
}
推荐做法:
使用memmove函数,源字符串和目标字符串所指内存区域可以重叠,但复制后目标字符串内容会被更改,该函数将返回指向目标字符串的指针。
#defineMSG_OFFSET3
#defineMSG_SIZE6
voidCompliant()
{
charstr[]="teststring";
char*ptr1=str;
char*ptr2;
ptr2=ptr1+MSG_OFFSET;
memmove(ptr2,ptr1,MSG_SIZE);/*【修改】使用memmove代替memcpy,防止缓冲区重叠出错*/
return;
}
memcpy与memmove的目的都是将N个字节的源内存地址的内容拷贝到目标内存地址中。
但当源内存和目标内存存在重叠时,memcpy会出现错误,而memmove能正确地实施拷贝,但这也增加了一点点开销。
memmove的处理措施:
●当源内存的首地址等于目标内存的首地址时,不进行任何拷贝
●当源内存的首地址大于目标内存的首地址时,实行正向拷贝
●当源内存的首地址小于目标内存的首地址时,实行反向拷贝
4格式化输出安全
规则3.1:
格式化输出函数的格式化参数和实参类型必须匹配
说明:
使用格式化字符串应该小心,确保格式字符和参数在数据类型上的匹配。
格式字符和参数之间的不匹配会导致未定义的行为。
大多数情况下,不正确的格式化字符串会可能会导致格式化漏洞,使程序异常终止。
错误示例1:
格式字符和参数的类
升级会员 