栈金丝雀
栈金丝雀 是什么?
栈金丝雀栈金丝雀是函数局部缓冲区与保存的返回地址之间放置的秘密值,用于在攻击者劫持控制流之前检测栈溢出。
栈金丝雀由 Crispin Cowan 等人在 1998 年的 StackGuard 中提出,是在函数栈帧中位于局部变量与保存的返回地址之间的随机值。编译器在函数入口插入设置金丝雀的代码,出口处插入验证代码;一旦发现被篡改,程序立即终止,避免使用已损坏的返回地址。现代工具链分别以 -fstack-protector 或 /GS 提供该特性,通常使用进程级随机值并添加终止字节(常为 0x00)以阻止包含金丝雀的溢出 payload。金丝雀是 ASLR、DEP、CFI 和内存安全语言的补充而非替代。
● 示例
- 01
GCC 的 -fstack-protector-strong 为含数组的函数插入金丝雀。
- 02
MSVC 的 /GS 选项检测基于 strcpy 的溢出。
● 常见问题
栈金丝雀 是什么?
栈金丝雀是函数局部缓冲区与保存的返回地址之间放置的秘密值,用于在攻击者劫持控制流之前检测栈溢出。 它属于网络安全的 应用安全 分类。
栈金丝雀 是什么意思?
栈金丝雀是函数局部缓冲区与保存的返回地址之间放置的秘密值,用于在攻击者劫持控制流之前检测栈溢出。
栈金丝雀 是如何工作的?
栈金丝雀由 Crispin Cowan 等人在 1998 年的 StackGuard 中提出,是在函数栈帧中位于局部变量与保存的返回地址之间的随机值。编译器在函数入口插入设置金丝雀的代码,出口处插入验证代码;一旦发现被篡改,程序立即终止,避免使用已损坏的返回地址。现代工具链分别以 -fstack-protector 或 /GS 提供该特性,通常使用进程级随机值并添加终止字节(常为 0x00)以阻止包含金丝雀的溢出 payload。金丝雀是 ASLR、DEP、CFI 和内存安全语言的补充而非替代。
如何防御 栈金丝雀?
针对 栈金丝雀 的防御通常结合技术控制与运营实践,详见上方完整定义。
栈金丝雀 还有哪些其他名称?
常见的别称包括: StackGuard, 栈饼干, GS cookie。
● 相关术语
- appsec№ 064
地址空间布局随机化(ASLR)
ASLR 在每次运行时随机化代码、栈、堆和共享库的内存地址,使攻击者无法可靠预测利用所需的目标地址。
- appsec№ 303
数据执行保护(DEP)
DEP(又称 NX 位或 W^X)将内存页标记为不可执行,使攻击者无法运行注入到栈或堆中的 shellcode。
- appsec№ 217
控制流完整性(CFI)
控制流完整性(CFI)将程序的间接调用和返回限制在预先计算的合法目标集合内,阻断 ROP 与 JOP 等控制流劫持利用。
- appsec№ 1028
影子栈
影子栈是一条独立且受保护的栈,用于保存返回地址副本,使 CPU 能在正常栈被篡改时检测并阻止 ROP 攻击。
- appsec№ 925
面向返回的编程(ROP)
ROP 是一种代码复用利用技术,通过把以 RET 结尾的短指令序列(gadget)串成链来执行任意计算,而无需注入新代码。
- appsec№ 670
内存安全
内存安全指程序绝不读取、写入或执行未合法分配的内存,从而消除整类漏洞的属性。
● 参见
- № 545Intel CET