Questão Q1063701

O chefe do departamento de TI da Security10 enviou para João, por e-mail, o programa simples em linguagem C, mostrado abaixo, com intuito de aferir os conhecimentos do novo contratado sobre segurança de software.

L1. void LerParametros (char *arg);

L2. void main (int argc, char *argv[]) {

L3. if (arg > 1){

L4. printf ("Parametros informados: %s\n", argv[1]);

L5. LerParametros (argv[1]);

L6. }

L7. }

L8. void LerParametros (char *arg) {

L9. char buffer[10];

L10. strcpy (buffer, arg);

L11. printf (buffer);

L12. }

Junto ao código, estava a mensagem: “João, por favor, verifique esse código. Sei que estamos fazendo algo errado e, com isso, expondo uma vulnerabilidade de segurança comum em programação, mas não consigo perceber qual. Falamos mais sobre isso na segunda”. João, ao analisar o código enviado, concluiu que esse apresenta como vulnerabilidade

Alternativas

uma Falha de Segmentação (do inglês, Segmentation Fault) na linha L5.

uma Falha de Segmentação (do inglês, Segmentation Fault) na linha L4.

um Estouro de buffer (do inglês, Buffer Overflow) na linha L9.

um Estouro de buffer (do inglês, Buffer Overflow) na linha L10.

Comentários

“João, por favor, verifique esse código. Sei que estamos fazendo algo errado e, com isso, expondo uma vulnerabilidade de segurança comum em programação, mas não consigo perceber qual. Falamos mais sobre isso na segunda”

Sobre a vulnerabilidade de segurança:
https://www.welivesecurity.com/br/2014/11/11/o-que-e-e-como-funciona-o-buffer-overflow/

Como é explorada:

https://pt.stackoverflow.com/questions/115613/o-que-%C3%A9-o-buffer-overflow

Ou seja, a função strcpy() é explorada em ataques de buffer overflow, observe que temos esta função na linha L10, GABARITO ALTERNATIVA D

SóProvas

Continue usando...

O que está incluso