Qualsiasi parser ASN.1 scritto completamente nel codice gestito e sicuro da buffer overflow

6

ASN.1 è un formato di dati utilizzato su certificati HTTPS e vari altri pezzi di infrastruttura critici.

Ho bisogno di analizzare alcuni dati ASN.1 potenzialmente ostili , e voglio assicurarmi che il mio codice sia al sicuro da qualsiasi errore del programmatore. Penso che il modo migliore per farlo sia quello di utilizzare un linguaggio gestito che non usi codice non sicuro.

Esistono implementazioni gestite (C #) di un parser ASN.1 ben collaudato e sicuro dai buffer overflow. Ancora meglio se ci fosse un modo per rilevare un tale trabocco per cominciare.

    
posta random65537 22.07.2013 - 17:57
fonte

1 risposta

9

Dai un'occhiata al link che ha un eccellente elenco di ASN.1 strumenti (alcuni commerciali, alcuni gratuiti), alcuni dei quali sono ampiamente utilizzati in infrastrutture critiche in tutto il mondo.

Uno di questi fornitori (per chi lavoro) è OSS Nokalva ( link ) dove è possibile trovare gli strumenti ASN.1 per C, C ++, C # e Java per i quali è possibile scaricare prove gratuite.

Si noti che l'uso di un linguaggio come C # o Java non è garanzia contro i messaggi codificati ASN.1. Un codice ben scritto e test sufficientemente accurati possono garantire che il codice sia solido. L'ampia diffusione del software ASN.1 in molte applicazioni critiche è una testimonianza di quanto siano ben scritti alcuni motori ASN.1. Si noti che è più probabile trovare codice robusto da uno strumento commerciale ASN.1 ampiamente utilizzato (che include il supporto tecnico) piuttosto che da alcuni strumenti ASN.1 disponibili gratuitamente.

    
risposta data 22.07.2013 - 20:20
fonte

Leggi altre domande sui tag