- 主题:无聊的担心一下kbs安全性的问题~~!
使用者太少,也就没啥人攻击吧.再说这个攻击难度比较大,不像web,hoho
而且我感觉好像国内不大有原创的攻击嘛,好像都是国外先有的,真是悲哀啊。
【 在 liangls (精灵射手) 的大作中提到: 】
: kbs的代码本身是开放的,这样的话,安全性会不会有问题?
: 有人攻击吗?如何防范?
--
修改:fancitron FROM 59.66.199.*
FROM 59.66.199.*
照理应该有一个参数传缓冲区大小的。。。
【 在 du2050 (杜杜) 的大作中提到: 】
: 标 题: Re: 无聊的担心一下kbs安全性的问题~~!
: 发信站: 水木社区 (Mon Jul 25 22:49:03 2005), 转信
:
: 呵呵,你看,你改的就不如人家改的好,全篇用到usercomplete函数有多处,即便是个个都注意了开大缓存也不好
:
: 后来人还可能用错这个函数。所以人家是在函数里限制输入长度了,就好多了,以后不会用错
:
: 还有总方法,就是把你的char tmpuserid[STRLEN];放在usercomplete里实现,这样既能全行输入,又能保证不溢出,hoho
:
: 【 在 nbysy (孩子他爸) 的大作中提到: 】
: : 问题出在 mail.c 里的 set_mailgroup_key() 与 init_mailgroup() 函数
: : 把 mailgroup_t 里的 id数组直接接传给 usercomplete() 函数造成溢出, id的数组长度只有IDLEN+1, 而usercomplete()要求的长度是 STRLEN
: : 修复这个bug 可做如下修改:
: : ...................
:
: --
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 218.61.75.*]
--
FROM 59.66.199.*
sigh..... 颇有沧桑感啊,说得我都想哭了..... 555....
【 在 flyriver (江~~忙碌生活) 的大作中提到: 】
: 历史遗留问题,可想而知最开始的 Firebird 确实不咋的,水木积累了这么多年
: 的经验都在现在的 kbs 里面了,不过前前后后改了快十年,隐藏的 bug 肯定也
: 不少,目前只能是发现一个消灭一个。
: ...................
--
FROM 59.66.199.*
有道理哦 @@
【 在 nbysy (孩子他爸) 的大作中提到: 】
: 标 题: Re: 无聊的担心一下kbs安全性的问题~~!
: 发信站: 水木社区 (Mon Jul 25 23:59:25 2005), 转信
:
: 我感觉传缓冲区大小没什么必要。
: 函数就叫 usercomplete(),可想而知传进去的缓冲区应该是IDLEN+1 个字节,因为ID长度不可能超过12字节,输入超过12字节的数据是不合逻辑的。
:
: 错误在于usercomplete() 允许用户输入STRLEN个字符(超过了IDLEN,何苦来哉),欺骗调用者的感情。
这个比喻要赞!@@
:
:
: 【 在 fancitron (Albatross) 的大作中提到: 】
: : 照理应该有一个参数传缓冲区大小的。。。
:
:
: --
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 60.178.69.*]
--
FROM 59.66.199.*
哦?怎么看出来的?@@
【 在 du2050@bbs.neu.edu.cn (杜杜) 的大作中提到: 】
: 昨天简单看了一下现在的kbs代码,比原来的smth1.2真是安全多了,可见你们确实作了不少这方面的工作,赞一个
--
FROM 59.66.199.*