Параметр /GS (проверка безопасности буфера)
Обнаруживает некоторые переполнения буфера, которые перезаписывают адрес возврата функции, адрес обработчика исключения или определенные типы параметров. Вызов переполнения буфера — это метод, используемый хакерами для использования кода, который не реализует ограничения на размер буфера.
/GS[-]
Заметки
По умолчанию параметр /GS включен. Если в приложении предполагается отсутствие проблем безопасности, используйте параметр /GS-. Дополнительные сведения о /GS см. в разделе Проверки безопасности, более компилятора. Дополнительные сведения о подавлении обнаружения переполнения буфера см. в разделе safebuffers.
Проверки безопасности
Для функций, в которых по мнению компилятора возможно переполнение буфера, при компиляции выделяется память в стеке перед возвращаемым адресом. При входе в функцию в выделяемую память загружается объект безопасности cookie, который формируется один раз при загрузке модуля. При выходе из функции и при обработке кадров в обратном порядке на 64-разрядных операционных системах вызывается вспомогательная функция, с помощью которой проверяется неизменность значения cookie. Другое значение показывает, что могла произойти перезапись стека. При обнаружении другого значения процесс завершается.
Буферы GS
В буфере GS выполняется проверка безопасности переполнения буфера. Буфер GS может принимать одно из следующих значений:
Массив, размер которого больше 4 байтов, содержащий более двух элементов, тип элементов которого не является типом указателя.
Структура данных, размер которых более чем 8 байтов и не содержит указателей.
Буфер, выделенный с использованием функции _alloca.
Любой класс или структура, содержащие буфер GS.
Например, следующие инструкции объявляют буферы GS.
char buffer[20];
int buffer[20];
struct { int a; int b; int c; int d; } myStruct;
struct { int a; char buf[20]; };
Однако следующие инструкции не объявляют буферы GS. Первые два объявления содержат элементы типа указателя. Третий и четвертый операторы объявляют массивы, размер которых слишком мал. Пятый оператор объявляет структуру, размер которой на платформе x86 не превышает 8 байт.
char *pBuf[20];
void *pv[20];
char buf[4];
int buf[2];
struct { int a; int b; };
Инициализировать файл Cookie безопасности
Параметр компилятора /GS требует, чтобы файл безопасности cookie инициализироваться перед запуском любой функции, которая использует файл cookie. Объект безопасности cookie необходимо инициализировать до входа в файл EXE или DLL. При использовании точек входа библиотеки CRT по умолчанию (mainCRTStartup, wmainCRTStartup, WinMainCRTStartup, wWinMainCRTStartup или _DllMainCRTStartup) инициализация выполняется автоматически. При использовании альтернативной точки входа необходимо вручную инициализировать объект безопасности cookie, вызвав __security_init_cookie.
Что защищается
Параметр компилятора /GS защищает следующие элементы:
Возвращаемый адрес вызова функции.
Адрес обработчика исключений для функции.
Параметры уязвимой функции.
На всех платформах параметр /GS пытается обнаружить переполнение буфера по возвращаемому адресу. Переполнения буфера чаще возникают на платформах, таких как x86 и x64, в которых возвращаемый адрес вызова функции в соответствии с соглашением о вызове хранится в стеке.
На платформе x86, если функция использует обработчик исключений, при компиляции также вставляется файл cookie для защиты адреса обработчика исключений. Этот файл cookie проверяется при очистке кадра.
Параметр /GS защищает уязвимые параметры, передаваемые в функцию. К уязвимым параметрам относятся указатели, ссылки C++, структуры C (тип POD C++), в которых содержатся указатели, а также буферы GC.
Память для уязвимых параметров выделяется до файлов cookie и локальных переменных. В случае переполнения буфера эти параметры могут быть перезаписаны. И код функции, в которой используются эти параметры, может вызвать атаку до момента возврата значения функцией и выполнения проверки безопасности. Чтобы свести к минимуму эту опасность, компилятор создает копию уязвимых параметров в прологе функции и помещает их ниже области хранения буферов.
Компилятор не создает копии уязвимых параметров в следующих случаях:
Функции, которые не содержат буферов GS.
Оптимизации (параметры /O) не включены.
Функции, имеющие список аргументов переменной (...).
Функции, помеченные с помощью атрибута naked.
Функции, в первом операторе которых содержится встроенный код ассемблера.
Параметр применяется только таким образом, чтобы обеспечивалась минимальная возможность его использования в случае переполнения буфера.
Что не защищается
Параметр компилятора /GS не обеспечивает защиту от всех атак на систему безопасности, связанных с переполнением буфера. Например, если в объекте используются буфер и таблица vtable, при переполнении буфера возможно повреждение таблицы vtable.
Даже при использовании /GS всегда пытайтесь писать безопасный код, не имеющий переполнений буфера.
Установка параметра компилятора в Visual Studio
В обозревателе решений щелкните правой кнопкой мыши проект и выберите пункт Свойства.
Для получения дополнительной информации см. Открытие свойств страниц проекта.
В диалоговом окне Страницы свойств щелкните папку C/C++.
Выберите страницу свойств Создание кода.
Измените значение свойства Проверка переполнения буфера.
Установка данного параметра компилятора программным способом
- См. раздел BufferSecurityCheck.
Пример
В этом примере происходит переполнение буфера. Это приведет к сбою приложения во время выполнения.
// compile with: /c /W1
#include <cstring>
#include <stdlib.h>
#pragma warning(disable : 4996) // for strcpy use
// Vulnerable function
void vulnerable(const char *str) {
char buffer[10];
strcpy(buffer, str); // overrun buffer !!!
// use a secure CRT function to help prevent buffer overruns
// truncate string to fit a 10 byte buffer
// strncpy_s(buffer, _countof(buffer), str, _TRUNCATE);
}
int main() {
// declare buffer that is bigger than expected
char large_buffer[] = "This string is longer than 10 characters!!";
vulnerable(large_buffer);
}