Integer overflow что делать
Здравствуйте! В последнее время значительно выросло количество людей занимающихся безопасностью ИТ. Следовательно, и произошел прорыв в матодах реализации некоторых атак. И именно поэтому эта статья о новом виде атак Integer Overflow.
Как видно целое число занимает в памяти 32 бита, что ровно 4 байтам. Для нас Integer представляется в виде целого числа, но система работает с ним как с двоичным кодом. Где бит MSB устанавливается в единицу если число отрицательное. Хочу сразу уточнить, что если Integer используется как unsigned(только положительные значения), то значения попадут в пределы [0,4294967295].
Что такое Integer Overflow?
На этом теоретическая часть заканчивается. Дальше мы рассмотрим несколько примеров уязвимых программ, и попробуем реализовать успешную атаку.
Как применить Integer Overflow?
В принципе механизм взлома зависит от структуры программы. Для прошлого примера упрощенный вариант выглядел бы следующим образом:
Как видите все просто. Но как было сказано в начале статьи эта ошибка дает доступ использованию других видов атак. Рассмотрим следующий пример:
А теперь давайте поиграем с входными параметрами. Скомпилим наш пример:
Проведем три эксперимента: Все, это уже переполнение буфера! Оно возникает, потому что chData размером в 100 байт, не может принять значение длинной (sizeof(chData)-intOffset). Потому как после инкремента intOffset будет отрицательным и результат выражения (sizeof(chData)-intOffset) намного превысит размер буфера chData.
Игра в числа. Разбираем уязвимость Integer Overflow в веб-сервере nginx
Содержание статьи
WARNING
Материал адpесован специалистам по безопасности и тем, кто собираeтся ими стать. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Тестовый стенд
Для проведения экспериментов нам понадобится тестовая площадка. Конечно, всегда можно самому установить и настроить нужный дистрибутив, но зачем, когда можно просто взять и сразу перейти непосредственно к опытам? Тем более наши китайские коллеги уже собрали готовую уязвимую среду и выложили ее в виде докер-контейнера. Скачать его можно из репозитория vulapps. На странице полно иероглифов, так что вот тебе команда, которая нужна для запуска сервера:
Вообще, в этом репозитории ютится множество стендов для тестирования разных уязвимостей, советую изучить на досуге.
После успешного выполнения команды на 80-м порте у нас будет висеть подопытный веб-сервер nginx версии 1.13.1.
Если вдруг тебе захочется немного подебажить, то рекомендую приаттачиться к контейнеру и выполнить
Теперь можно присоединяться к процессу (worker process) с помощью gdb.
Сразу предупреждаю, что импакт у уязвимости невесть какой, однако покопаться в ней интересно.
Немного о Range
Причина уязвимости — в некорректной обработке байтовых диапазонов в заголовке Range. Возможно, ты в курсе, что это такое, но давай на всякий случай повторим.
Базовая информация о заголовке Range
Заголовок Range используется, когда нужно получить не полный ответ от сервера, а только его часть. Формат допустимых значений заголовка подробно описан в спецификации протокола HTTP 1.1 RFC2616.
Согласно стандарту, в качестве значений можно указывать диапазоны для выборки. Они состоят из двух частей: размерность диапазона и список правил выборки. В качестве размерности используются байты.
Саму выборку можно делать двумя способами. Первый — указать две позиции: начало выборки и ее конец. Причем стандарт четко определяет, что начальная позиция должна быть не меньше нуля, а конечная обязательно больше начальной или равна ей. Если это условие не соблюдается, то заголовок должен быть проигнорирован. Если в качестве последней позиции указано значение, которое больше размера запрашиваемого документа или равно ему, то последней позицией считается текущий размер документа в байтах минус один. То же самое касается тех случаев, когда конечная позиция не указана вообще.
К примеру, если размер документа 138 байт, то bytes=1-137 получит от сервера 137 байт информации, начиная со второго и заканчивая последним.
Первый способ выборки части контента с помощью Range
Второй способ — выборка последних N байт тела документа. Если размер документа меньше, чем указанный в запросе, то будет выбран весь документ. Например, bytes=-7 запрашивает последние 7 байт.
Второй способ выборки части контента с помощью Range
Также спецификация разрешает в одном заголовке Range указать несколько диапазонов, в качестве разделителя используется запятая.
Использование нескольких байтовых диапазонов в заголовке Range
Наличие заголовка Accept-Ranges говорит о поддержке Range в запросах
Углубляемся в детали
/src/http/modules/ngx_http_range_filter_module.c
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Специалист по информационной безопасности в ONsec. Research, ethical hacking and Photoshop.
Для некоторых приложений, таких как таймеры и часы, может быть желательно перенос при переполнении. Стандарт C11 утверждает, что для беззнаковых целых чисел перенос по модулю является определенным поведением, и термин «переполнение» никогда не применяется: «вычисление с участием беззнаковых операндов никогда не может переполниться».
СОДЕРЖАНИЕ
Источник
Флаги
Большинство компьютеров имеют два выделенных флага процессора для проверки условий переполнения.
Варианты определения и неоднозначность
Для беззнакового типа, когда идеальный результат операции находится за пределами представимого диапазона типа и возвращаемый результат получается путем упаковки, это событие обычно определяется как переполнение. Напротив, стандарт C11 определяет, что это событие не является переполнением, и заявляет, что «вычисление с использованием беззнаковых операндов никогда не может переполниться».
Когда идеальный результат целочисленной операции выходит за пределы представимого диапазона типа и возвращаемый результат получается путем ограничения, то это событие обычно определяется как насыщение. Использование зависит от того, является ли насыщение переполнением или нет. Чтобы устранить двусмысленность, можно использовать термины «переносить переполнение» и «насыщающее переполнение».
Термин «потеря значимости» чаще всего используется для математики с плавающей запятой, а не для целочисленной. Но можно найти много ссылок на целочисленное истощение. Когда используется термин целочисленное недополнение, это означает, что идеальный результат был ближе к минус бесконечности, чем представимое значение выходного типа, ближайшее к минус бесконечности. Когда используется термин целочисленное отсутствие переполнения, определение переполнения может включать все типы переполнения или только те случаи, когда идеальный результат был ближе к положительной бесконечности, чем представимое значение выходного типа, ближайшее к положительной бесконечности.
Непоследовательное поведение
Методы решения проблем целочисленного переполнения
| Язык | Беззнаковое целое | Знаковое целое число |
|---|---|---|
| Ада | по модулю модуля типа | поднять Constraint_Error |
| C / C ++ | степень двойки по модулю | неопределенное поведение |
| C # | степень по модулю 2 в непроверенном контексте; System.OverflowException поднимается в проверяемом контексте | |
| Джава | N / A | степень двойки по модулю |
| JavaScript | все числа с плавающей запятой двойной точности, кроме нового BigInt | |
| MATLAB | Встроенные целые числа насыщают. Целые числа с фиксированной запятой, настраиваемые для переноса или насыщения | |
| Python 2 | N / A | преобразовать в длинный тип (bigint) |
| Семя7 | N / A | поднять OVERFLOW_ERROR |
| Схема | N / A | преобразовать в bigNum |
| Simulink | настраивается для обертывания или насыщения | |
| Болтовня | N / A | преобразовать в LargeInteger |
| Быстрый | Вызывает ошибку, если не используются специальные операторы переполнения. | |
Обнаружение
Избегание
Умение обращаться
Если ожидается, что может произойти переполнение, тогда в программу можно вставить тесты, чтобы определить, когда это произойдет или вот-вот произойдет, и выполнить другую обработку, чтобы смягчить его. Например, если важный результат, вычисленный на основе пользовательского ввода, переполняется, программа может остановиться, отклонить ввод и, возможно, предложить пользователю другой ввод, вместо того, чтобы программа продолжала работать с недопустимым переполненным вводом и, возможно, как следствие, работала неправильно. Этот полный процесс можно автоматизировать: можно автоматически синтезировать обработчик целочисленного переполнения, где обработчик, например, является чистым выходом.
У ЦП обычно есть способ обнаружения этого для поддержки добавления чисел, превышающих размер их регистра, обычно с использованием бита состояния; этот метод называется арифметикой с высокой точностью. Таким образом, можно добавить два числа каждые два байта шириной, используя только добавление байтов по шагам: сначала добавьте младшие байты, затем добавьте старшие байты, но если необходимо выполнить младшие байты, это арифметическое переполнение добавление байтов, и становится необходимым обнаруживать и увеличивать сумму старших байтов.
Явное распространение
Поддержка языков программирования
В отличие от более старых языков, таких как C, некоторые новые языки, такие как Rust, например, предоставляют встроенные функции, которые позволяют легко обнаруживать и выбирать пользователю, как следует обрабатывать переполнение в каждом конкретном случае. В Rust, хотя использование основных математических операторов, естественно, лишено такой гибкости, пользователи могут альтернативно выполнять вычисления с помощью набора методов, предоставляемых каждым из целочисленных примитивных типов. Эти методы предоставляют пользователям несколько вариантов выбора между выполнением «проверенной» (или «переполненной») операции (которая указывает, произошло ли переполнение через возвращаемый тип); «неконтролируемая» операция; операция, которая выполняет упаковку, или операцию, которая выполняет насыщение на числовых границах.
Насыщенная арифметика
Примеры
Microsoft / IBM Macro Assembler (MASM) версии 1.00 и, вероятно, все другие программы, созданные одним и тем же компилятором Pascal, имели целочисленное переполнение и ошибку подписи в коде настройки стека, что не позволяло им запускаться на новых машинах DOS или эмуляторах в некоторых общих конфигурации с объемом памяти более 512 КБ. Программа либо зависает, либо отображает сообщение об ошибке и выходит в DOS.
В августе 2016 года автомат в казино Resorts World распечатал призовой билет на 42 949 672,76 долларов в результате ошибки переполнения. Казино отказалось выплатить эту сумму, назвав это неисправностью, используя в свою защиту то, что в автомате четко указано, что максимальная выплата составляет 10 000 долларов, поэтому любой приз, превышающий эту сумму, должен быть результатом ошибки программирования. Верховный суд штата Айова вынес решение в пользу казино.
Переполнение и недостаточный поток в Java
Краткий и практический обзор переполнения и недостаточного потока в Java.
1. введение
В этом уроке мы рассмотрим переполнение и недостаточный поток числовых типов данных в Java.
Мы не будем углубляться в более теоретические аспекты — мы просто сосредоточимся на том, когда это произойдет на Java.
Сначала мы рассмотрим целочисленные типы данных, затем типы данных с плавающей запятой. Для обоих случаев мы также увидим, как мы можем определить, когда происходит избыточный или недостаточный поток.
2. Переполнение и недостаточный поток
Проще говоря, переполнение и недостаточный поток происходят, когда мы присваиваем значение, которое выходит за пределы диапазона объявленного типа данных переменной.
Если (абсолютное) значение слишком велико, мы называем это переполнением, если значение слишком мало, мы называем это недостаточным потоком.
Давайте посмотрим, что происходит в Java в этих случаях более подробно.
3. Целочисленные Типы Данных
Целочисленными типами данных в Java являются байт (8 бит), короткий (16 бит), int (32 бита) и длинный (64 бита).
Здесь мы сосредоточимся на инт тип данных. То же самое поведение применимо и к другим типам данных, за исключением того, что минимальные и максимальные значения различаются.
Целое число типа int в Java может быть отрицательным или положительным, что означает, что с его 32 битами мы можем присваивать значения между -2 31 ( -2147483648 ) и 2 31 -1 ( 2147483647 ).
3.1. Пример
Что произойдет, если мы определим переменную m типа int и попытаемся присвоить слишком большое значение (например, 21474836478 + 1)?
Возможным результатом этого назначения является то, что значение m будет неопределенным или возникнет ошибка.
Давайте рассмотрим следующий фрагмент кода, чтобы лучше проиллюстрировать это поведение:
Мы получим следующий вывод, который демонстрирует переполнение:
4. Обработка недостаточного потока и переполнения целочисленных типов данных
Java не создает исключения при переполнении; именно поэтому может быть трудно найти ошибки, возникающие в результате переполнения. Мы также не можем напрямую получить доступ к флагу переполнения, который доступен в большинстве процессоров.
Однако существуют различные способы обработки возможного переполнения. Давайте рассмотрим несколько из этих возможностей.
4.1. Используйте другой тип данных
Если мы хотим разрешить значения, превышающие 2147483647 (или меньше, чем -2147483648 ), мы можем просто использовать тип данных long или BigInteger вместо этого.
Хотя переменные типа long также могут переполняться, минимальные и максимальные значения намного больше и, вероятно, достаточны в большинстве ситуаций.
Диапазон значений BigInteger не ограничен, за исключением объема памяти, доступной для JVM.
Давайте посмотрим, как переписать наш приведенный выше пример с помощью BigInteger :
Мы увидим следующий результат:
Как мы видим на выходных данных, здесь нет переполнения. Наша статья BigDecimal и BigInteger в Java охватывает BigInteger более подробно.
4.2. Создать исключение
Бывают ситуации, когда мы не хотим допускать больших значений, а также не хотим, чтобы происходило переполнение, и вместо этого мы хотим создать исключение.
Начиная с Java 8, мы можем использовать методы для точных арифметических операций. Давайте сначала рассмотрим пример:
Статический метод addExact() выполняет обычное добавление, но выдает исключение, если операция приводит к переполнению или недостаточному потоку:
Кроме того, существуют точные методы преобразования, которые создают исключение, если во время преобразования в другой тип данных происходит переполнение.
Для преобразования из long в int :
И для преобразования из BigInteger в int или long :
4.3. До Java 8
Точные арифметические методы были добавлены в Java 8. Если мы используем более раннюю версию, мы можем просто создать эти методы сами. Один из вариантов сделать это-реализовать тот же метод, что и в Java 8:
5. Нецелочисленные Типы Данных
Нецелочисленные типы float и double ведут себя не так, как целочисленные типы данных, когда дело доходит до арифметических операций.
Java следует стандарту IEEE для арифметики с плавающей запятой (IEEE 754) для своих типов данных float и double|/. Этот стандарт является основой для того, как Java обрабатывает избыточный и недостаточный поток чисел с плавающей запятой.
В нижеприведенных разделах мы сосредоточимся на избыточном и недостаточном потоке двойной тип данных и что мы можем сделать, чтобы справиться с ситуациями, в которых они возникают.
5.1. Переполнение
Что касается целочисленных типов данных, мы могли бы ожидать, что:
Однако это не относится к переменным с плавающей запятой. Верно следующее:
Если мы увеличим значение нашей переменной таким образом, что увеличим один из значимых битов переменной, переменная будет иметь значение БЕСКОНЕЧНОСТЬ :
и NEGATIVE_INFINITY для отрицательных значений:
5.2. Недостаточный поток
Существуют две константы, определенные для минимальных значений двойного значения: MIN_VALUE (4,9 e-324) и MIN_NORMAL (2,2250738585072014 E-308).
Давайте сосредоточимся на том, зачем нам вообще нужно минимальное значение для чисел с плавающей запятой.
A двойной значение не может быть произвольно малым, так как у нас есть только ограниченное количество битов для представления значения.
Как следствие, точность double в Java не поддерживает значения между 0 и 4,9 e-324, или между -4,9 e-324 и 0 для отрицательных значений.
Мы видим, что если мы назначим слишком малое значение, мы получим недостаточный поток, и результирующее значение будет 0.0 (положительный ноль).
Аналогично, при отрицательных значениях недостаточный поток приведет к значению -0.0
(отрицательный ноль).
6. Обнаружение недостаточного потока и переполнения типов данных с плавающей запятой
Поскольку переполнение приведет либо к положительной, либо к отрицательной бесконечности, а переполнение приведет к положительному или отрицательному нулю, нам не нужны точные арифметические методы, такие как для целочисленных типов данных. Вместо этого мы можем проверить наличие этих специальных констант для обнаружения избыточного и недостаточного потока.
Если мы хотим создать исключение в этой ситуации, мы можем реализовать вспомогательный метод. Давайте посмотрим, как это может выглядеть для возведения в степень:
7. Положительный и отрицательный ноль
Наконец, давайте рассмотрим пример, который показывает, почему нам нужно быть осторожными при работе с положительным и отрицательным нулем и бесконечностью.
Давайте определим пару переменных, чтобы продемонстрировать:
Потому что положительное и отрицательное 0 считаются равными:
В то время как положительная и отрицательная бесконечность считаются разными:
Однако следующее утверждение верно:
Что, по-видимому, противоречит нашему первому утверждению.
8. Заключение
В этой статье мы рассмотрели, что такое избыточный и недостаточный поток, как это может происходить в Java и в чем разница между целочисленными типами данных и типами данных с плавающей запятой.
Мы также увидели, как мы можем обнаруживать избыточный и недостаточный поток во время выполнения программы.
Integer overflow
Overflow is a phenomenon where operations on 2 numbers exceeds the maximum (or goes below the minimum) value the data type can have. Usually it is thought that integral types are very large and people don’t take into account the fact that sum of two numbers can be larger than the range. But in things like scientific and mathematical computation, this can happen. For example, an unhandled arithmetic overflow in the engine steering software was the primary cause of the crash of the maiden flight of the Ariane 5 rocket. The software had been considered bug-free since it had been used in many previous flights; but those used smaller rockets which generated smaller accelerations than Ariane 5’s.This article will tell how this problem can be tackled.
In this article, we will only deal with integral types (and not with types like float and double)
In order to understand how to tackle this problem we will first know how numbers are stored.
About integers:
Consider a short variable having a value of 250.
It is stored int the computer like this (in binary format)
00000000 11111010
Complement of a number is a number with its bits toggled. It is denoted by
250 is 11111111 00000101
Overflow:
Consider a data type var_t of 1 byte (range is 256):
signed var_t a,b;
unsigned var_t c,d;
If c is 200(11001000) and d is 100(01100100), c+d is 300(00000001 00101100), which is more than the max value 255(11111111). 00000001 00101100 is more than a byte, so the higher byte will be rejected and c+d will be read as 44. So, 200+100=44! This is absurd! (Note that 44=300-256). This is an example of an unsigned overflow, where the value couldn’t be stored in the available no. of bytes. In such overflows, the result is moduloed by range (here, 256).
Detecting overflow:
Division and modulo can never generate an overflow.
Addition overflow:
Overflow can only occur when sign of numbers being added is the same (which will always be the case in unsigned numbers)
signed overflow can be easily detected by seeing that its sign is opposite to that of the operands.
Let us analyze overflow in unsigned integer addition.
Consider 2 variables a and b of a data type with size n and range R.
Let + be actual mathematical addition and a$b be the addition that the computer does.
If a+b =R a$b=a+b-R
as R is more than both a and b, a-R and b-R are negative
So, a+b-R Therefore, a$b is less than both a and b.
This difference can be used to detect unsigned addition overflow. a-b can be treated as a+(-b) hence subtraction can be taken care of in the same way.
Multiplication overflow: There are two ways to detect an overflow:
1. if a*b>max, then a>max/b (max is R-1 if unsigned and R/2-1 if signed).
2. Let there be a data type of size n and range R called var_t and a data type of size 2n called var2_t.
Let there be 2 variables of var_t called a and b. Range of var2_t will be R*R, which will always be more than the product of a and b. hence if var2_t(a)*var2_t(b)>R overflow has happened.
Type conversion: consider unsigned int a=4294967290; int b=-6; return (a==b); This returns 1.
Whenever an operation is performed between an unsigned and a signed variable of the same type, operands are converted to unsigned.
Whenever an operation is performed between a long type and a short type, operands are converted to the long type.
The above code returned 1 as a and b were converted to unsigned int and then compared.
If we used __int64 (a 64-bit type) instead of unsigned int and 18446744073709551610 instead of 4294967290, the result would have been the same.
Type promotion: Whenever an operation is performed on two variables of a type shorter than int, the type of both variables is converted to int. For eg. short a=32000,b=32000;cout would display 64000, which is more than the max value of short. The reason is that a and b were converted to int and a+b would return an int, which can have a value of 64000.
