книги хакеры / Защита_от_взлома_сокеты,_эксплойты,_shell_код_Фостер_Дж_

История языков программирования коротка, но динамична. Еще не так давно передовым считался язык ассемблера. Но с тех пор программирование прошло длинный путь, на котором обогатилось новыми идеями и технологиями: от объектов до инструментов визуального программирования. Сегодня существует три основных парадигмы программирования: процедурная (например, C и Pascal), функциональная (Lisp и ML) и объектно-ориентиро- ванная (Java, C++ и Smalltalk). Логическое или декларативное программирование (например, Prolog) остается уделом академических исследований.

Каждая парадигма знаменует собственный подход к решению задач. Процедурную программу можно рассматривать как последовательность инструкций, которые на каждом шаге модифифицируют данные, размещенные в определенных ячейках памяти. Такие программы содержат конструкции для повторения, например, циклы и процедуры. Функциональную программу можно представлять себе как набор функций над заданными исходными данными. В истинно функциональных программах нет присваиваний переменным; для получения требуемого результата достаточно одних лишь списков и функций. Объектно-ориентированные программы организованы

âклассы. Экземпляры классов, именуемые объектами, содержат данные и методы, выполняющие те или иные действия над этими данными. Объекты взаимодействуют, посылая друг другу сообщения, в которых содержатся запросы на выполнение определенных действий.

Понимать особенности языков программирования необходимо как прикладным программистам, так и специалистам по безопасности, занятым тестированием приложений. У каждого языка есть специфические характеристики, которые нужно учитывать при попытке взлома программы. Например, программисты, привыкшие писать «эксплойты», основанные на переполнении буфера в программах на языке C, могут впасть в растерянность, когда для аудита будет представлено приложение, написанное на Java. Прочи- тав эту главу, вы получите общее представление о такого рода аспектах безопасности, связанных с ними рисках и о том, какие дефекты возможны в программах на языках C, C++, Java и C#.

На заре распространения операционной системы UNIX в конце 60-х и

â70-õ годах на авансцену вышли интерпретируемые языки, призванные сократить время разработки небольших задач. Они позволяли энтузиастам программирования создавать сценарии, то есть наборы интерпретируемых инструкций, которые компьютер мог выполнить. Такие утомительные проблемы как управление памятью и работа с низкоуровневыми системными

командами, теперь выполнялись «за кулисами», что позволило снизить слож-

Поскольку высокоуровневые языки C и C++ являются компилируемыми, то написанный на них текст не понятен процессору. Специальная программа- компилятор транслирует этот текст в машинный код, который процессор может исполнить. В отличие от интерпретируемых языков, к числу которых относится Java, не существует никакого байт-кода или промежуточного языка. Программы, написанные на C или C++, транслируются непосредственно в команды, доступные процессору. У такого подхода есть недостаток – зависимость от платформы. Код должен быть скомпилирован именно для той системы, на которой будет исполняться.

ßçûê C

Язык C знаменит своей универсальностью, сочетаемой с простотой. Число зарезервированных слов в нем невелико, но функциональность тем не менее весьма высока. Небольшое число зарезервированных слов не мешает программисту выразить то, что он хочет. К услугам программистов на C имеются разнообразные операторы и возможность создавать собственные типы данных. Простота языка позволяет научиться его основам легко и быстро.

Мощь языка C происходит от отсутствия в нем ограничений; программист может получать доступ к данным и манипулировать ими на уровне битов. Широко распространено также использование указателей, то есть прямых ссылок на ячейки памяти. В более поздних языках, например, в Java эта возможность удалена. C – это процедурный язык. Написанная на нем программа состоит из функций, представляющих собой автономные конструкции для решения отдельных задач. Модульность позволяет использовать код повторно. Группы функций можно объединить в библиотеки, допускающие импорт в другие программы, что заметно сокращает время разработки.

C также очень эффективный язык. Некоторые алгоритмы возможно реализовать машинно-зависимым способом, воспользовавшись особенностями архитектуры микропроцессора. Программа на C транслируется непосредственно в машинный код, поэтому исполняется быстрее программы на «интерпретируемом» языке типа Java. Такое быстродействие оказывается существенным для многих приложений, особенно работающих в реальном масштабе времени, но у него есть и обратная сторона: код, написанный на C, не является платформенно-независимым. При переносе на новую платформу части программы иногда приходится переписывать. Из-за дополнительных усилий не всегда существует версия конкретной C-программы для новой операционной системы или набора микросхем.

Тем не менее, язык C очень полюбился программистам. Программы на нем могут выглядеть просто и элегантно, обладая в то же время большими

ние стека или «кучи», и как следствие получить доступ к защищенной области памяти.

Âязыках C и C++ нет механизма автоматического контроля выхода за границы, что и делает их уязвимыми для атак методом переполнения стека. Ответственность за реализацию такого контроля для каждой переменной, счи- тываемой из внешнего источника, возлагается на программиста. В языках C#

èJava риска переполнения буфера нет, так как контроль выхода за границы производится автоматически.

ÂС++ включены средства для сокрытия данных. Внутренние методы и данные класса можно объявить закрытыми, так что они будут доступны только внутри этого класса и больше нигде. Поскольку C – это чисто процедурный язык, то механизмы сокрытия данных в нем отсутствуют, поэтому злонамеренный пользователь может получить доступ к внутренним структурам программы непредусмотренным способом.

Атакуя программу, написанную на C или C++, противник может также получить доступ к критически важным областям памяти. Дело в том, что в обоих языках активно применяются указатели, позволяющие обратиться к произвольному адресу в памяти. В Java и C# вместо этого используются ссылочные переменные. Кроме того, в Java реализована модель «песочницы» (sandbox), в соответствии с которой программы, работающие внутри «песоч- ницы», не могут читать или модифицировать внешние данные. Такой концепции в языках C и C++ нет.

Пример «Здравствуй, мир!»

Программу «Здравствуй, мир!» (Hello, world!) часто приводят в пример, как простейшую из возможных программ на данном языке. Начинающие программисты на этом примере осваивают базовую структуру языка, учатся пользоваться компилятором и запускать программу на выполнение. Ниже приведен текст такой программы на языке C.

Пример 1.1. Здравствуй, мир!

1#include <stdio.h>

2int main( void ) {

3printf("%s", "Hello, world!");

4return 0;

5}

Âэтом примере импортируется стандартная библиотека ввода/вывода. В нее включены функции, часто используемые в интерактивных програм-

мах, например, «printf». Данная программа состоит всего из одной функции

Из этих примеров видно, что использование typedef проясняет смысл программы и позволяет связать с типом данных некоторые дополнительные характеристики. Комментарий к строке 7 говорит о том, что все переменные типа weight будут хранить значения веса в фунтах. Глядя на строку 8 мы видим, что переменная johnweight – это, вероятнее всего, вес. В примере без применения typedef можно лишь сказать, что johnweight – это целое число. По мере увеличения размера программы преимущества typedef становятся более очевидными. В предыдущем примере оба метода приводят к ясному коду, но, если программа состоит из нескольких сотен строк, то объявление переменной как имеющей тип weight может многое сказать о ее природе.

В языке C имеются следующие конструкции для организации структур данных:

Массивы. Массив – это индексированная последовательность данных одного типа;

менную;

Структуры. Структура (struct) – это запись, содержащая данные разных типов;

Объединения. Объединение (union) содержит только одно значение, но в разные моменты исполнения программы у него могут быть разные типы. Какой именно тип хранится в данный момент, определяет поле селектора;

Перечисления. Перечисление (enum) позволяет определить переменную, способную принимать значения из небольшого множества.

Для создания сложных типов данных, состоящих из нескольких элементов, применяется ключевое слово struct. Часто в структурах употребляются типы, ранее определенные с помощью слова typedef. В примере 1.3 продемонстрирована структура данных.

Пример 1.3. Структура struct

1struct person{

5}

Структура person позволяет программисту логически сгруппировать информацию о физическом лице, а затем легко получить к ней доступ. Так, для сложения веса Джона и Тома надо написать:

int combinedweight = John.w + Tom.w;

Ущерб и защита

Создание дерева атак

Очень важно объективно оценивать факторы, угрожающие новой вы числительной системе. Дерево атак – это модель, помогающая разра ботчику описать имеющиеся риски. Чтобы построить дерево атак, взгляните на систему с точки зрения противника. В корневом узле расположите цель противника. Узлам потомкам сопоставьте методы, с помощью которых противник может попытаться достичь своей цели. Вообще, потомки каждого узла должны содержать методы, с помо щью которых можно достичь цели или реализовать метод в узле роди теле.

Продолжение