¿Cómo se puede escribir código seguro que resista los ataques de desbordamiento de búfer?

Con tecnología de la IA y la comunidad de LinkedIn

Los ataques de desbordamiento de búfer son un tipo común de vulnerabilidad de seguridad que puede comprometer el código y exponerlo a los piratas informáticos. Se producen cuando un programa intenta escribir más datos de los que puede contener el espacio de memoria asignado, lo que hace que el exceso de datos sobrescriba las ubicaciones de memoria adyacentes. Esto puede dar lugar a un comportamiento inesperado, bloqueos o incluso a la ejecución de código malicioso. En este artículo, aprenderá a escribir código seguro que resista los ataques de desbordamiento de búfer siguiendo algunas prácticas y técnicas recomendadas.

Expertos destacados en este artículo

Elección de la comunidad a partir de 6 contribuciones. Más información

1 Utilizar funciones seguras

Una de las principales causas de los ataques de desbordamiento de búfer es el uso de funciones no seguras que no comprueban los límites de los búferes de entrada o salida. Por ejemplo, funciones como strcpy, strcat, gets, scanf y printf en C son propensas al desbordamiento del búfer porque no comprueban el tamaño de los datos que copian, anexan, leen o escriben. Para evitar esto, debe usar funciones seguras que limiten la cantidad de datos que manejan o realizar comprobaciones de límites. Por ejemplo, puede usar strncpy, strncat, fgets, snprintf o scanf_s en lugar de sus contrapartes inseguras.

Añade tu opinión

Chamoda Ranasinghe

Senior Full Stack Engineer | Tech Lead | Web & Mobile App Development | Node JS, PHP, Next JS, TypeScript, React, React Native, Flutter | AWS | CICD | Docker | GraphQL | Linux
Denunciar la contribución
Bounds Checking: Validate input sizes and ensure buffers are not overrun, preventing attackers from injecting malicious code into adjacent memory. Use Safe Functions: Utilize safer string manipulation functions like strncpy and snprintf instead of vulnerable functions like strcpy and sprintf. Compiler Protections: Enable compiler security features (e.g., stack canaries) that add runtime checks to detect buffer overflows. Memory-safe Languages: Prefer languages like Rust, Go, or Java that provide built-in memory safety features, reducing the risk of buffer overflows. Static Code Analysis: Regularly perform static code analysis to identify potential vulnerabilities and ensure adherence to secure coding practices.

Traducido

Recomendar
Shreya R.

Summer Intern ICICI Bank | MBA IIM Raipur '26| Former Cybersecurity Associate Solution Advisor Deloitte | Coordinator Students' Affairs Committee
Denunciar la contribución
✅ C and C++ are two languages that are highly vulnerable to buffer overflow attacks. This is because they don't have built in safeguards against overwriting or accessing data in their memory. ✅ The best practice is to use managed buffers and strings rather than raw arrays and pointers. ✅ One can also use automated tools such as AddressSanitizer (ASan). It safeguards all stack objects and heaps allocations with some poisoned memory by replacing malloc with a modified version and injects code into your application to detect if it tries to access any of those memories.

Traducido

Recomendar
Cauê Stefani Correia

Director of Engineering | Senior Engineering Manager | Data Driven
Denunciar la contribución
Escrever código seguro contra ataques de estouro de buffer envolve práticas como validar entradas de usuário, usar funções seguras para manipulação de strings (como strncpy em vez de strcpy), e implementar limites estritos para alocação de memória. Utilize tipos de dados seguros, como std::vector em C++, e evite o uso de buffers fixos quando possível. Adote ferramentas de análise estática e dinâmica para identificar potenciais vulnerabilidades. Mantenha-se informado sobre as melhores práticas de segurança e participe de treinamentos especializados para fortalecer as defesas contra estouros de buffer.

Traducido

Recomendar

2 Validar la entrada del usuario

Otra causa común de los ataques de desbordamiento de búfer es la falta de validación de la entrada del usuario. Si acepta datos de fuentes externas, como archivos, red o teclado, siempre debe validar su longitud, tipo y formato antes de procesarlos. De lo contrario, puede terminar con más datos de los esperados o con datos que contienen código malintencionado. Para validar la entrada del usuario, debe usar funciones que comprueben la longitud de entrada y devuelvan un error si supera el tamaño del búfer. También debe utilizar funciones que filtren caracteres no válidos o peligrosos, como bytes nulos, secuencias de escape o comandos de shell.

Añade tu opinión

Shreya R.

Summer Intern ICICI Bank | MBA IIM Raipur '26| Former Cybersecurity Associate Solution Advisor Deloitte | Coordinator Students' Affairs Committee
(editado)
Denunciar la contribución
✅ A programmer should always secure the program under the assumption that all user input is malicious. Bound checks become really important. ✅ Developers should also check if the input does not have correctly implemented format strings. Attackers can leverage string vulnerability and compromise the software. ✅ A fuzzer tried a combination of special characters, alphabets, numbers,metadata etc. to check if the application is vulnerable. One can use automatic fuzzers to automate various inputs and test which input can cause abnormal behaviour in the program.

Traducido

Recomendar

3 Habilitación de las protecciones del compilador

Muchos compiladores modernos ofrecen características que pueden ayudar a prevenir o mitigar los ataques de desbordamiento de búfer. Por ejemplo, puede habilitar la protección de pila, que agrega un valor aleatorio (llamado canario) a la pila antes de cada llamada a la función y la comprueba después de cada retorno de función. Si se altera el valor controlado, significa que se ha producido un desbordamiento de búfer y el programa finaliza. También puede habilitar la aleatorización del diseño del espacio de direcciones (ASLR), que aleatoriza las ubicaciones del código, los datos y los segmentos de pila en la memoria, lo que dificulta que los atacantes predigan dónde inyectar su código.

Añade tu opinión

Shreya R.

Summer Intern ICICI Bank | MBA IIM Raipur '26| Former Cybersecurity Associate Solution Advisor Deloitte | Coordinator Students' Affairs Committee
(editado)
Denunciar la contribución
💡Another protection provided by windows is DEP - Data Execution Prevention. It protects you from executable code launching from undesired places. It does this by marking some areas in the PC memory exclusively for data and no executable code would be allowed to run from those areas.

Traducido

Recomendar

4 Probar el código

Por último, siempre debe probar el código en busca de posibles vulnerabilidades de desbordamiento de búfer antes de implementarlo. Puede usar herramientas como analizadores estáticos, que analizan el código en busca de errores y advertencias, o analizadores dinámicos, que ejecutan el código y supervisan su comportamiento y uso de memoria. También puede usar fuzzers, que generan datos de entrada aleatorios o mal formados y los alimentan a su programa, para ver cómo reacciona y si se bloquea. Probar el código puede ayudarle a identificar y corregir cualquier error o falla que pueda provocar ataques de desbordamiento de búfer.

Añade tu opinión

James O'Flanagan, MS, FRSA

Your Personal Engineering Guide 🚂 | Oapsie.com | Deck 36 Newsletter | EastRimTrail.com | Stow.Mortgage | JamesOFlanagan.com | Top 100 Magazine | Marquis Who’s Who | MS | FRSA | F:🙆♂️🙋♀️👩❤️💋👩🤷♂️🐈⬛
Denunciar la contribución
A common cause of buffer overflow attacks is a C++ or Fortran program attempting to address an illegal array value. In a non-managed-execution language like C++ & Fortran, a buffer program called a Virtual Machine executes the code. In those programs, background routines continually monitor for array overflows & other important error conditions. No so with C++ and Fortran. That onus is on the programmer. These languages have 🔼power and 🔼flexibility, but also 🔼programming & 🔼testing responsibility. The TESTER is best served by documenting every array, Then writing unit tests to attempt to overflow all. The Unit Testing is done individually or as part of a group. No exception array overflow exception are allowed. #CodeTesting ☺️

Traducido

Recomendar

5 Esto es lo que hay que tener en cuenta

Este es un espacio para compartir ejemplos, historias o ideas que no encajan en ninguna de las secciones anteriores. ¿Qué más te gustaría añadir?

Añade tu opinión

Programación

Seguir

Valorar este artículo

Hemos creado este artículo con la ayuda de la inteligencia artificial. ¿Qué te ha parecido?

Está genial Está regular

Denunciar este artículo

Ver todo

¿Cómo se puede escribir código seguro que resista los ataques de desbordamiento de búfer?

1

2

3

4

5

1 Utilizar funciones seguras

2 Validar la entrada del usuario

3 Habilitación de las protecciones del compilador

4 Probar el código

5 Esto es lo que hay que tener en cuenta

Programación

Valorar este artículo

Gracias por tus comentarios

Más artículos sobre Programación

Lecturas más relevantes

¿Cómo se puede escribir código seguro que resista los ataques de desbordamiento de búfer?

1

2

3

4

5

1 Utilizar funciones seguras

2 Validar la entrada del usuario

3 Habilitación de las protecciones del compilador

4 Probar el código

5 Esto es lo que hay que tener en cuenta

Programación

Valorar este artículo

Gracias por tus comentarios

Explorar otras aptitudes