https://www.opennet.ru/openforum/vsluhforumID9/9253.html Здравствуйте,<br><br>Простите за глупый вопрос, но кто и что может сказать по безопасности ПЕРЕМЕННЫХ демона, если он от пользователя через веб-форму получает данные и помешает их в переменные std::string (потом даже пишет на диск). Есть ли какие-то нюансы, возможно спец. символы, которые в память нельзя записывать, чтобы целостность данных не нарушилась, чтобы демон не упал или еще хуже злоумышленник не получил доступ к диску и тд.<br><br>Если есть такие нюансы, то на что проверять данные?<br><br>Спасибо<br><br> https://www.opennet.ru/openforum/vsluhforumID9/9253.html#3 Sat, 08 Oct 2011 17:33:50 GMT &gt;[оверквотинг удален]<br>&gt; разными последствиями, это верно, еще раз проверю этот помент, но вроде <br>&gt; бы реализовал чтение по 256 символов из сокета и потому добавление <br>&gt; их к std::string т.е. все безопасно.<br>&gt; Еще какие-то моменты могут быть при работе с этими данными, при условии, <br>&gt; что в buf а потом и в std::string попадают любые данные <br>&gt; от злоумышленника.<br>&gt; Позже std::string не ограничено в использовании, в том числе пишется на диск. <br>&gt; Нужны ли дополнительные проверки где-то еще?<br>&gt; Т.е. я так понимаю, главное чтобы не было ситуации, что в std::string <br>&gt; не оказался какой-то бинарный код, который неожиданно выполнится процессором.<br><br>Отлично, доппроверки не нужны. Хотя, конечно же, это идея - подменить репозитарий какого-либо дистрибутива, модифицировать обновление популярной библиотеки на проверку на волшебную последовательность в данных, запускать код после этого секретного тега. Но, вроде бы, такого ещё не наблюдалось) <br> https://www.opennet.ru/openforum/vsluhforumID9/9253.html#2 Sat, 08 Oct 2011 09:35:11 GMT <br>&gt; Вы не можете подать сокету для буфера std:string, буфер всегда участок памяти, <br>&gt; соответственно необходимо контролировать размер читаемых данных.<br><br>да, точно, если переполнить буфер, то перезапишется какой-то другой участок памяти с разными последствиями, это верно, еще раз проверю этот помент, но вроде бы реализовал чтение по 256 символов из сокета и потому добавление их к std::string т.е. все безопасно.<br><br>Еще какие-то моменты могут быть при работе с этими данными, при условии, что в buf а потом и в std::string попадают любые данные от злоумышленника.<br>Позже std::string не ограничено в использовании, в том числе пишется на диск.<br>Нужны ли дополнительные проверки где-то еще?<br>Т.е. я так понимаю, главное чтобы не было ситуации, что в std::string не оказался какой-то бинарный код, который неожиданно выполнится процессором.<br><br>Спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID9/9253.html#1 Sat, 08 Oct 2011 05:21:46 GMT &gt; Здравствуйте, <br>&gt; Простите за глупый вопрос, но кто и что может сказать по безопасности <br>&gt; ПЕРЕМЕННЫХ демона, если он от пользователя через веб-форму получает данные и <br>&gt; помешает их в переменные std::string (потом даже пишет на диск). Есть <br>&gt; ли какие-то нюансы, возможно спец. символы, которые в память нельзя записывать, <br>&gt; чтобы целостность данных не нарушилась, чтобы демон не упал или еще <br>&gt; хуже злоумышленник не получил доступ к диску и тд.<br>&gt; Если есть такие нюансы, то на что проверять данные?<br>&gt; Спасибо <br><br>Вы не можете подать сокету для буфера std:string, буфер всегда участок памяти, соответственно необходимо контролировать размер читаемых данных. <br>