Шрифт:
Родственные грехи
Этот грех стоит особняком, никакие другие с ним не связаны. Впрочем, первая его разновидность обсуждается более подробно в грехе 13.
Где искать ошибку
Так просто и не скажешь, нет характерных признаков. Самый эффективный способ – провести анализ кода.
Выявление ошибки на этапе анализа кода
Обращайте особое внимание на следующие конструкции:
Тестирование
Как отмечено выше, лучший способ обнаружить проявления греха заключается в анализе кода. Тестирование затруднительно, поскольку предполагается, что вы должны заставить функцию систематически возвращать ошибку. С точки зрения экономичности и затраченных усилий анализ кода – это самое дешевое средство.
Существуют некоторые инструменты, аналогичные lint, которые обнаруживают отсутствующие проверки кода возврата.
Примеры из реальной жизни
Следующий пример взят из базы данных CVE .
CAN–2004–0077 do_mremap в ядре Linux
Это, наверное, самая известная в недавней истории ошибка из разряда «забыл проверить возвращенное значение». Из–за нее были скомпрометированы многие Linux–машины, подключенные к сети Интернет. Обнаружившие ее люди подняли шумиху в прессе, а пример эксплойта можно найти по адресуvulnerabilities/isec–0014–mremap–unmap.txt.
Примечание. В конце 2003 – начале 2004 года в менеджере памяти, являющемся частью ядра Linux, был обнаружен целый ряд ошибок, в том числе две, относящиеся к теме этой главы. Не путайте эту ошибку с другой, касающейся механизма отображения адресов: CAN–2003–0985.
Искупление греха
Искупить грех можно, лишь выполняя следующие предписания:
□ Обрабатывайте в своем коде все относящиеся к делу исключения.
□ Не «глотайте» исключения.
□ Проверяйте возвращаемые значения, когда это необходимо.
Искупление греха в C/C++
В следующем фрагменте мы вместо использования макросов assert явно проверяем все аргументы функции и значение, возвращенное fopen.
Утверждения (assert) следует применять лишь для проверки условий, которые никогда не должны встречаться.
DWORD OpenFileContents(char *szFileName) {
if (szFileName == NULL || strlen(szFileName) <= 3)
return ERROR_BAD_ARGUMENTS;
FILE *f = fopen(szFileName, "r");
if (f == NULL)
return ERROR_FILE_NOT_FOUND;
// Можно работать с файлом
return 1;
}
Включенная в Microsoft Visual Studio .NET 2005 технология аннотирования исходного текста (Source code Annotation Language – SAL) помогает в числе прочих обнаружить и ошибки, связанные с проверкой возвращаемых значений. При компиляции показанного ниже кода будет выдано предупреждение:
«Warning С6031: return value ignored: «Function» could return unexpected value».
(Предупреждение C6031: возвращенное значение проигнорировано. Функция могла вернуть неожиданное значение.)
__checkReturn DWORD Function(char *szFileName) {
DWORD dwErr = NO_ERROR;
// Выполнить, что положено
return dwErr;
}
void main {
Function("c:\\junk\\1.txt");
}
Искупление греха в C#, VB.NET и Java
Следующий псевдокод обрабатывает только те ошибки, о которых знает, и ничего более:
try {
// (1) Загрузить XML-файл с диска
// (2) Извлечь из XML-данных URI
// (3) Открыть хранилище клиентских сертификатов и достать оттуда
// сертификат в формате X.509 и закрытый ключ клиента
// (4) Выполнить запрос на аутентификацию к серверу, определенному
// на шаге (2), используя сертификат и ключ из шага (3)
} catch (SecurityException e1) {
// обработать ошибки, относящиеся к безопасности
} catch (XmlException e2) {
// обработать ошибки, относящиеся к XML
} catch (IOException e3) {
// обработать ошибки ввода/вывода
} catch (FileNotFoundException e4) {
// обработать ошибки, связанные с отсутствием файла
} catch (SocketException e5) {
// обработать ошибки, относящиеся к сокетам
}
Другие ресурсы
□ Code Complete, Second Edition by Steve McConnell, Chapter 8, «Defensive Programming»
□ «Exception Handling in Java and C#» by Howard Gilbert:yale.edu/ pclt/exceptions.htm
□ Linux Kernel mremap Missing Return Value Checking Privilege Escalation www.osvdb/displayvuln.php?osvdb_id=3986
Резюме
Рекомендуется
□ Проверяйте значения, возвращаемые любой функцией, относящейся к безопасности.