David Wagner, Jeffrey S. Foster, Eric A. Brewer and Alexander Aiken, A First Step Towards Automated Detection of Buffer Overrun Vulnerabilities, Network and Distributed System Security Symposium, Feb 2000.
David Larochelle and David Evans, Statically Detecting Likely Buffer Overflow Vulnerabilities, 2001 USENIX Security Symposium, Aug 2001.
中村豪一, 村瀬一郎, 静的解析によるCプログラムのバッファオーバーフロー検出, 情報処理学会プログラミング研究会, Jun 2002.
バッファオーバーフローについて(識者に質問) (スコア:0)
Re:バッファオーバーフローについて(識者に質問) (スコア:1)
少なくとも文字列処理について言えば、そもそも自前でバッファを確保して使おうなどとするのが、時代遅れで、無粋で、効率の悪いプログラミングスタイルでしょう。別途入念に作られた汎用文字列操作ライブラリを使うことを考えてみるべきです。
そうした汎用ライブラリを使うと、文字列格納のためのメモリがヒープ領域に
Re:バッファオーバーフローについて(識者に質問) (スコア:0)
などとよく言われますが、問題の本質は、
「今、そこにあるコードが、そのような考慮がされずに、書かれている」ということではないでしょうか? 新しく作るコードがどうのこうのじゃなくて、今見つかっているバッファオーバーフロー脆弱性は、いままでそのような考慮がなされずに作られているからでしょう。だから、これからも次々と「発覚」すると思われます。
というわけで、「正しいコードを書かないからいけない」という議論はあんまり意味がなく(まったく無用とはいいません、もちろん)、今あるコードから自動的に(完璧に)バッファオーバーフロー脆弱性を見つけて、指摘してくれる手法やツールがあればうれしいのですが。できたら大金持ち? だれが早く作ってくれ(実際には、何がバッファオーバーフローかを見つけるのが非常に困難だから作られてないのだと思うけど)。
Re:バッファオーバーフローについて(識者に質問) (スコア:1)
Re:バッファオーバーフローについて(識者に質問) (スコア:0)