CERT C: POS39-C правил

Используйте правильный порядок байтов при передаче данных между системами

развернуть все на странице

Описание

Определение правила

Используйте правильный порядок байтов при передаче данных между системами. ^[1 ]

Внедрение Polyspace

Эта проверка проверяет отсутствие переупорядочивания байтов при передаче данных.

Примеры

развернуть все

Отсутствует переупорядочивание байтов при передаче данных

Проблема

Отсутствие переупорядочивания байтов при передаче данных происходит, когда не используется функция упорядочивания байтов:

Перед отправкой данных на сетевой сокет.
После получения данных с сетевого сокета.

Риск

Некоторые системные архитектуры реализуют малое упорядочение байтов endian (первый наименее значимый байт), а другие системы реализуют большой endian (первый наиболее значимый байт). Если полнота отправленных данных не соответствует полноте принимающей системы, значение, возвращаемое при считывании данных, является неверным.

Зафиксировать

После получения данных из сокета используйте функцию упорядочивания байтов, такую как ntohl(). Перед отправкой данных на сокет используйте функцию упорядочивания байтов, такую как htonl() .

Пример - Данные, переданные без переупорядочивания байтов

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <byteswap.h>
#include <unistd.h>
#include <string.h>


unsigned int func(int sock, int server)
{
    unsigned int num;   /* assume int is 32-bits */
    if (server)
    {
        /* Server side */
        num = 0x17;
		/* Endianness of server host may not match endianness of network. */
        if (send(sock, (void *)&num, sizeof(num), 0) < (int)sizeof(num)) 
        {
            /* Handle error */
        }
        return 0;
    }
    else {
        /* Endianness of client host may not match endianness of network. */
        if (recv (sock, (void *)&num, sizeof(num), 0) < (int) sizeof(num))  
        {
            /* Handle error */
        }
		
		/* Comparison may be inaccurate */
        if (num> 255)  
        {
            return 255;
        }
        else
        {
            return num;
        }
    }
}

В этом примере переменная num присвоено шестнадцатеричное значение 0x17 и передается по сети клиенту с сервера. Если хост сервера - это маленький endian, а сеть - большой endian, num передается как 0x17000000. Затем клиент считывает неверное значение для num и сравнивает его с локальным числовым значением.

Коррекция - использовать функцию упорядочения байтов

Перед отправкой num с хоста сервера, использовать htonl() для преобразования из хоста в сетевой порядок байтов. Аналогично, перед чтением num на клиентском хосте, используйте ntohl() для преобразования из сети в порядок байтов хоста.

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <byteswap.h>
#include <unistd.h>
#include <string.h>

unsigned int func(int sock, int server)
{
    unsigned int num;   /* assume int is 32-bits */
    if (server)
    {
        /* Server side */
        num = 0x17;
		
		/* Convert to network byte order. */
        num = htonl(num); 
        if (send(sock, (void *)&num, sizeof(num), 0) < (int)sizeof(num)) 
        {
            /* Handle error */
        }
        return 0;
    }
    else {
        if (recv (sock, (void *)&num, sizeof(num), 0) < (int) sizeof(num)) 
        {
            /* Handle error */
        }
		
		/* Convert to host byte order. */
        num = ntohl(num); 
        if (num > 255) 
        {
            return 255;
        }
        else
        {
            return num;
        }
    }
}

Проверить информацию

Группа: Правило 50. POSIX (POS)

См. также

Check SEI CERT-C (-cert-c)

Темы

Проверка нарушений стандартов кодирования

Внешние веб-сайты

POS39-C

Представлен в R2019a

^[1] Данное программное обеспечение было создано компанией MathWorks и включает в себя следующие компоненты: «Веб-сайт SEI CERT-C», © 2017 Университет Карнеги-Меллон, веб-сайт SEI CERT-C + + © 2017 Университет Карнеги-Меллон, "Стандарт кодирования SEI CERT C - Правила разработки безопасных, Надежные и безопасные системы - 2016 Edition ", © 2016 Университет Карнеги-Меллон, и "Стандарт кодирования SEI CERT C++ - Правила разработки безопасных, Надежные и безопасные системы в C++ - 2016 Edition "© 2016 Университет Карнеги-Меллон, со специальным разрешением от его Института программного обеспечения.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ МЕЛЛОНА И/ИЛИ ЕГО ПРОГРАММНОГО ИНЖЕНЕРНОГО ИНСТИТУТА, СОДЕРЖАЩИЙСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, ПОСТАВЛЯЕТСЯ КАК ЕСТЬ. УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ВЫРАЖЕННЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, В ОТНОШЕНИИ ЛЮБЫХ ВОПРОСОВ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ ЦЕЛЕЙ ИЛИ ТОВАРНОЙ ПРИГОДНОСТИ, ИСКЛЮЧИТЕЛЬНОСТИ ИЛИ РЕЗУЛЬТАТОВ, ПОЛУЧЕННЫХ ОТ ИСПОЛЬЗОВАНИЯ УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ В ОТНОШЕНИИ СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКИХ ПРАВ.

Данное программное обеспечение и связанная с ним документация не были рассмотрены и не одобрены Университетом Карнеги-Меллона или его Институтом разработки программного обеспечения.

Документация