IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

C++ Discussion :

Eviter les dépassements de pile


Sujet :

C++

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    bruce-willis
    Invité(e)
    Par défaut Eviter les dépassements de pile
    Bonjour,

    Dans le but d'améliorer le programme que je suis entrain d'écrire, je voudrais d'abord comprendre ce que c'est un dépassement.
    Pour cela, j'ai écrit un petit code sous Code::Blocks (compilateur GCC)
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    #include <string.h>
    #include <stdio.h>
     
    void test(const char* buf)
    {
       char buffer[10];
       strcpy(buffer, buf);
    }
     
    int main()
    {
       char str[100];
       gets(str);
       test(str);
       printf("C'est fini !!");
       return 0;
    }
    J'entre un texte sur str de
    - longueur 11 (puisque buffer[10] donc dépassement), aucun problème, le printf s'affiche
    - longueur 27, le printf s'affiche
    - longueur 28, c'est là que le programme crashe, POURQUOI SI LOIN?

    Il semble que GCC possède aussi une protection contre cela (stack error) à la compilation, comment ? Merci d'avance

  2. #2
    Expert confirmé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Décembre 2003
    Messages
    3 549
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 549
    Par défaut
    Ne pas confondre buffer overflow et stack overflow.

    Une solution pour ne pas avoir de buffer overflow, c'est de ne pas coder en C mais en C++, en favorisant l'utilisation d'objets qui maintiennent des invariants et font des assertions en mode de débogage.

    POURQUOI SI LOIN?
    Invoquer un comportement indéfini ne veut pas dire que ça va forcément crasher de suite, c'est même pire puisque tu peux silencieusement corrompre ton code.

  3. #3
    bruce-willis
    Invité(e)
    Par défaut
    Et bien, vous vous trompez: les dépassements sont souvent détectés en C aussi bien qu'en C++ (on peut encore utiliser strcpy et sprintf)
    Ce bout de code que j'ai montré est en C++

    Ce que je ne comprend pas c'est que la fonction n'a qu'un "char buffer[10]" comme variable locale donc un espace de 10 octets dans la pile après l'adresse de retour, normalement si j'entre un tableau de [11], ça doit crasher non?

  4. #4
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Par défaut
    Citation Envoyé par bruce-willis Voir le message
    Ce que je ne comprend pas c'est que la fonction n'a qu'un "char buffer[10]" comme variable locale donc un espace de 10 octets dans la pile après l'adresse de retour, normalement si j'entre un tableau de [11], ça doit crasher non?
    Pas forcément.

    Par exemple, si tu as :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    char buffer[10];
    unsigned long value;
    Ces 2 variables seront sur la pile mais le compilateur va probablement faire un alignement de frontière de manière à ce que la variable 'value' soit sur une adresse multiple de 4. Donc tu te retrouveras probablement avec un trou de 2 octets inutilisé entre buffer[10] et 'value'. Si tu fais buffer[10] = 0, tu vas taper dans ce trou, cela ne gênera personne par contre, si tu fais buffer[12]=0, tu va aller taper dans la variable 'value' et laà cela peut partir en live avec un comportement indterminé (rien de notable, crash, formattage du disque, démarrage de ta cafetière, ...)
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  5. #5
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Juin 2006
    Messages
    85
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 85
    Par défaut
    Le plus flagrant pour les dépassements de pile est d'utiliser les pointeurs en C ou en C++. Rares doivent être les compilateurs qui peuvent détectés le problème.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
     
    #include <stdio.h>
     
    int main()
    {
    	char buf[10];
    	for(int i=0; i<100; i++)
    	{
    		*(buf+i) = i;	// Au delà de 9 on écrit n'importe où
    	}
    	return 0;
    }

  6. #6
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Juin 2006
    Messages
    85
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 85
    Par défaut
    Il y a d'ailleurs du très bon cours sur ce site pour leur exploitation http://david-gross.developpez.com/tu...ffer-overflow/

  7. #7
    bruce-willis
    Invité(e)
    Par défaut
    Citation Envoyé par ram-0000 Voir le message
    Par exemple, si tu as :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    char buffer[10];
    unsigned long value;
    Ces 2 variables seront sur la pile mais le compilateur va probablement faire un alignement de frontière de manière à ce que la variable 'value' soit sur une adresse multiple de 4. Donc tu te retrouveras probablement avec un trou de 2 octets inutilisé entre buffer[10] et 'value'. Si tu fais buffer[10] = 0, tu vas taper dans ce trou, cela ne gênera personne par contre, si tu fais buffer[12]=0, tu va aller taper dans la variable 'value' et laà cela peut partir en live avec un comportement indterminé (rien de notable, crash, formattage du disque, démarrage de ta cafetière, ...)
    Je ne comprend toujours pas la façon dont les variables sont rangées en STACK (pile)!! Pour cet exemple, buffer[10] au top suivi de value suivi de l'adresse de retour non??? Donc, un tableau de taille 10+sizeof(value)+4 doit écraser la valeur de retour?

  8. #8
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Par défaut
    Citation Envoyé par bruce-willis Voir le message
    Je ne comprend toujours pas la façon dont les variables sont rangées en STACK (pile)!! Pour cet exemple, buffer[10] au top suivi de value suivi de l'adresse de retour non??? Donc, un tableau de taille 10+sizeof(value)+4 doit écraser la valeur de retour?
    En reprenant mon exemple et en admettant que ce que j'ai dit sur l'alignement soit vrai (c'est probablement vrai)
    Code schéma de la pile : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
     
    0X0000    
     
     
               .....
               buffer[0]
               buffer[1]
               buffer[2]
               buffer[3]
               buffer[4]
               buffer[5]
               buffer[6]
               buffer[7]
               buffer[8]
               buffer[9]
               not used
               not used
               value (byte1)
               value (byte2)
               value (byte3)
               value (byte4)
               adresse de retour de la fonction (byte1)
               adresse de retour de la fonction (byte2)
               adresse de retour de la fonction (byte3)
               adresse de retour de la fonction (byte4)
               .....
     
     
    0Xffff
    Les valeurs sur la pile sont ajoutées dans le sens descendant (donc de 0Xffff vers 0x0000). Le sens d'écriture dans la pile va donc de bas en haut (sur mon schéma)
    Sur cette pile, on va trouver l'adresse de retour de la fonction (empilée par le call à la fonction) et les variables locales donc buffer[10] sur 10 octets et 'value' sur 4 octets. Comme 'value' doit être aligné sur 1 frontière multiple de 4 (pour des raisons de performance d'accès à la variable), il y aura un trou de 2 octets entre 'buffer' et 'value' pour faire cet alignement.

    Donc si on écrit en buffer[10], on va taper dans le trou, c'est pas encore très grave pour la santé du programme, si on écrit en buffer[12], on va taper dans 'value' (là, cela peut provoquer un comportement bizarre) et si on écrit en buffer[16], on va taper dans l'adresse de retour de la fonction (et là en général, le programme ne s'en remet pas).

    L'exemple présenté ici est ultra simplifié (en fait plus de choses que cela sont empilées sur la pile lors d'un appel de fonction) mais le principe reste le même.
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  9. #9
    bruce-willis
    Invité(e)
    Par défaut
    Citation Envoyé par ram-0000 Voir le message
    Donc si on écrit en buffer[10], on va taper dans le trou, c'est pas encore très grave pour la santé du programme, si on écrit en buffer[12], on va taper dans 'value' (là, cela peut provoquer un comportement bizarre) et si on écrit en buffer[16], on va taper dans l'adresse de retour de la fonction (et là en général, le programme ne s'en remet pas).
    D'accord, mais avec ma fonction test(), pourquoi c'est à buffer[28] que cela crashe?

  10. #10
    Rédacteur/Modérateur
    Avatar de JolyLoic
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Août 2004
    Messages
    5 463
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2004
    Messages : 5 463
    Par défaut
    Citation Envoyé par bruce-willis Voir le message
    Ce bout de code que j'ai montré est en C++
    C'est peut-être du C++ valide, mais ce n'est pas du C++ typique. Et une grande partie de l'apport du C++ par rapport au C est justement de permettre la mise en place de techniques permettant d'éviter sans efforts une grande partie des causes de ce genre de dépassement.
    Ma session aux Microsoft TechDays 2013 : Développer en natif avec C++11.
    Celle des Microsoft TechDays 2014 : Bonnes pratiques pour apprivoiser le C++11 avec Visual C++
    Et celle des Microsoft TechDays 2015 : Visual C++ 2015 : voyage à la découverte d'un nouveau monde
    Je donne des formations au C++ en entreprise, n'hésitez pas à me contacter.

  11. #11
    Membre extrêmement actif
    Avatar de randriano
    Homme Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 221
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 221
    Par défaut
    Je me rend compte que le terme INDEFINI est très utilisé dans ce fil
    Mais ce n'est pas indéfini, pas du tout avec le compilateur de Visual C++ (Delphi/C++ Builder, etc.): quand c'est 28, c'est toujours 28 pour ce code (en fait c'est de buffer[16] à buffer[19] que les 32 bits de l'adresse de retour sont écrasés; on parle là de ce code du poste #1 sur un compilateur mais pas sur tous les compilateurs
    Le désassemblage au débogage du programme peut prouver cela, le code asm correspondant reste le même et on y voit bien les "PUSH", "POP", "RET", "MOV EBP,ESP" ! => Il semble que l'overflow simple par écrasement de EIP à la fin d'une fonction n'est pas possible à partir de VS2003, il y a une fonction de test de STACK appelée avant RET

    Conventions sous Microsoft Visual C++ (fr)
    http://support.microsoft.com/kb/100832/fr
    randriano.dvp.com
    Développeur. Product Owner [Agile]. Sites web, mobile apps, système d'information (SI).

  12. #12
    Expert éminent
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2005
    Messages
    27 395
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2005
    Messages : 27 395
    Par défaut
    Tu oublies que l'optimiseur est libre d'inliner les appels de fonction et d'utiliser ses propres conventions d'appel quand c'est approprié.

    Cela se produit typiquement lors de l'appel de fonctions static au sein d'un même fichier source, mais cela peut aussi être fait à un niveau plus global si des options d'optimisation poussées (Whole Program Optimization, Link-Time Code Generation) sont activées.

    De plus, même avec des conventions fixes pour les paramètres, l'organisation des variables locales est bel et bien indéfinie. Notamment, on peut voir que les bricolages rigolos de MinGW n'ont rien à voir avec l'organisation de Visual, par exemple...
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  13. #13
    Rédacteur
    Avatar de 3DArchi
    Profil pro
    Inscrit en
    Juin 2008
    Messages
    7 634
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2008
    Messages : 7 634
    Par défaut
    Citation Envoyé par Médinoc Voir le message
    Tu oublies que l'optimiseur est libre d'inliner les appels de fonction et d'utiliser ses propres conventions d'appel quand c'est approprié.

    Cela se produit typiquement lors de l'appel de fonctions static au sein d'un même fichier source, mais cela peut aussi être fait à un niveau plus global si des options d'optimisation poussées (Whole Program Optimization, Link-Time Code Generation) sont activées.

    De plus, même avec des conventions fixes pour les paramètres, l'organisation des variables locales est bel et bien indéfinie. Notamment, on peut voir que les bricolages rigolos de MinGW n'ont rien à voir avec l'organisation de Visual, par exemple...
    +++
    La norme dit que le comportement est indéfini. Cela veut dire que tu ne sais dire en lisant le code quel sera le résultat. Une fois le code généré par le compilateur et que tu as un code binaire, là oui, tu peux prévoir. Mais, ce n'est plus du ressort du C++. Il s'agit bien de comprendre que le comportement est indéfini du point de vue du langage C++.

  14. #14
    Membre extrêmement actif
    Avatar de randriano
    Homme Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 221
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 221
    Par défaut
    Mais bon, pour Visual Studio 2003 et plus, le paramètre /GS (par défaut) permet de vérifier l'état du stack avant le retour d'une fonction. Donc, le risque de STACK OVERFLOW est presque nul aujourd'hui (les HEAP OVERFLOW plutôt difficile à exploiter)!!! Ces failles sur les tampons d'aujourd'hui ne sont plus que des erreurs de certaines bibliothèques: en effet, même si on fait très attention à nos codes et on importe un fichier LIB par ex, on ne sait pas s'il y a une faille dedans
    randriano.dvp.com
    Développeur. Product Owner [Agile]. Sites web, mobile apps, système d'information (SI).

  15. #15
    Rédacteur
    Avatar de 3DArchi
    Profil pro
    Inscrit en
    Juin 2008
    Messages
    7 634
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2008
    Messages : 7 634
    Par défaut
    L'option est quand même assez limitée, cf MSDN. Il existe encore de nombreux cas où on peut passer à côté.

  16. #16
    Membre chevronné Avatar de mess-mate
    Inscrit en
    Septembre 2008
    Messages
    352
    Détails du profil
    Informations forums :
    Inscription : Septembre 2008
    Messages : 352
    Par défaut
    Citation Envoyé par bruce-willis Voir le message
    J'entre un texte sur str de
    - longueur 11 (puisque buffer[10] donc dépassement), aucun problème, le printf s'affiche
    - longueur 27, le printf s'affiche
    - longueur 28, c'est là que le programme crashe, POURQUOI SI LOIN?

    Il semble que GCC possède aussi une protection contre cela (stack error) à la compilation, comment ? Merci d'avance
    Mon C::B donne une erreur à partir du 10ème. Je ne peux entrer que 9 chars, ce qui est donc exacte. Aucun dépassement !

Discussions similaires

  1. Eviter les doublons
    Par cyrill.gremaud dans le forum ASP
    Réponses: 5
    Dernier message: 14/09/2005, 12h37
  2. [D7] Dépassement de pile à l'impression avec Quick Report
    Par Bigbaloo dans le forum Composants VCL
    Réponses: 8
    Dernier message: 16/03/2005, 00h28
  3. Réponses: 4
    Dernier message: 13/08/2004, 18h39
  4. [langage] 2 fichier dans 1 en evitant les doublons
    Par remixxl dans le forum Langage
    Réponses: 6
    Dernier message: 26/07/2004, 17h05
  5. [C#] Comment eviter les boucles infinies ?
    Par Thomas Lebrun dans le forum C#
    Réponses: 12
    Dernier message: 09/06/2004, 00h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo