堆式缓冲区溢出

 //作者：冷却//时间：2009年11月9日16:00:00#include <windows.h>#include <stdio.h>int main(int argc,char** argv){char* buf1;char* buf2;buf1 = new char[4];buf2 = new char[4];ZeroMemory(buf1, sizeof(buf1));ZeroMemory(buf2, sizeof(buf2));printf("buf1's addr = 0x%x/n", buf1);printf("buf2's addr = 0x%x/n", buf2);printf("/nbuf2's addr - buf1's addr = %d/n/n", buf2-buf1);//模拟类似于gets(buf1)这样的情况下向buf1输入57个字符'a'for ( int n=0; n<57; n++ ){buf1[n] = 'a';}printf("buf1 = %s/n", buf1);printf("buf2 = %s/n", buf2);return 0;}

在VC6.0环境下，将以上代码编译为Debug版，然后运行，结果如下：

buf1's addr = 0x380fe0
buf2's addr = 0x381018

buf2's addr - buf1's addr = 56

buf1 = aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
buf2 = a

很有趣吧，我们并没有对已经被初始化为空的buf2做任何的赋值操作，但是最终buf2却变成了a。其实这就是一个简单的堆式缓冲区溢出漏洞。

那么这样的情况会引起什么安全问题呢？相像一下吧，假如在一个游戏程序中，buf1为保存用户输入的用户名的变量，而buf2是用来保存金钱的变量，那么，只要我们输入特殊的用户名就能改变buf2了，也就相当于改变了金钱！！！这还了得。当然，这样的漏洞的实际分析和利用是非常复杂和多样的，同时也普遍认为堆式缓冲区溢出比堆栈式缓冲区溢出要难很多。

最后提一点，为什么要编译为Debug版呢？因为Debug版和Release版的程序在运行时的内存结构是不同的，之所以这样要求仅仅是为了演示出上面的效果，当然，Release版同样会溢出，只是会和Debug版的不同罢了，例如就不是像Debug版那样输入超过56个字符就会引起溢出了。