Taint Bug (污点漏洞)：

什么是污点漏洞？

脏数据，没净化（污点源）：

        用户输入、直接复制的链接、手机APP传入的参数（我觉得恶意广告跳转就是用了这个），这些数据没有经过检查，比如我要float类型的输入，但给的是int类型输入,没经过数据转换，会导致bug;再比如，我要一个四位数据，但输入是一个八位数据，那要是直接把多的四位丢掉，也会报错。总之，输入数据没经过检查，不一定符合要求，可能导致bug

敏感操作（污点汇）：

        比如，用输入的数字当数组的索引，可能导致索引和数组元素个数不匹配，索引数字大于元素个数；再比如进行算数运算的时候发生溢出

举例：

1、根据用户输入的索引，打印数组里的内容

int arr[5] = {1,2,3,4,5};int index;scanf(\"%d\", &index); // 用户输入index（污点源）printf(\"%d\", arr[index]); // 直接用index访问数组（污点汇）

输入的&index不是[0,4]之间的整数，就会报错。

用户的输入是没经过检查的脏数据

要经过净化，确保在合规范围内才可以

改正：

int arr[5] = {1,2,3,4,5};int index;scanf(\"%d\", &index); // 接收用户输入（污点源）// 关键修复：检查index是否合法（给数据“洗澡”）if (index = 5) { printf(\"输入错误！索引必须在0~4之间\"); return 1; // 直接退出，不执行后续危险操作}printf(\"%d\", arr[index]); // 确认安全后，再访问数组（污点汇）

更通用的“净化逻辑”：

实际开发中，还可以根据场景增加更严格的检查，比如：

限制输入类型：确保用户输入的是数字（而非字母或符号）。

动态获取数组长度：用sizeof(arr)/sizeof(arr[0])代替硬编码的5，避免数组大小变化时漏改检查条件。

// 更健壮的版本int arr[5] = {1,2,3,4,5};int index, arr_size = sizeof(arr)/sizeof(arr[0]); // 动态获取数组长度if (scanf(\"%d\", &index) != 1) { // 检查输入是否为有效数字 printf(\"输入错误！请输入整数\"); return 1;}if (index = arr_size) { // 用动态长度判断 printf(\"输入错误！索引必须在0~%d之间\", arr_size-1); return 1;}printf(\"%d\", arr[index]);

2、给num设一个天花板

int clamp_num(int config, int num ){ // 函数：限制数字num的最大值 if (config && num > ARR_SIZE) // 如果“开关打开”且“num超过天花板” num = ARR_SIZE;  // 就把num强行改成“天花板”的值 return num ; // 返回限制后的num}

config是开关，num必须满足num <= ARR_SIZE

3、用户输入直接复制到固定大小缓冲区，未检查长度

#include #include void vulnerable_function() { char buffer[10]; // 固定大小缓冲区（10字节） char user_input[100]; // 污点变量：存储用户输入（不可信源） printf(\"请输入姓名：\"); scanf(\"%s\", user_input); // 1. 污点源：用户输入（未限制长度） // 2. 未净化：直接将污点变量复制到缓冲区，未检查长度 strcpy(buffer, user_input); // 危险操作：无长度限制的复制 printf(\"欢迎：%s\\n\", buffer);}int main() { vulnerable_function(); return 0;}

修复：

// 安全版本：限制输入长度，避免溢出void safe_function() { char buffer[10]; char user_input[100]; printf(\"请输入姓名：\"); scanf(\"%9s\", user_input); // 限制输入长度为9字节（留1字节给字符串结束符\'\\0\'） strncpy(buffer, user_input, sizeof(buffer)-1); // 用 strncpy 限制复制长度 buffer[sizeof(buffer)-1] = \'\\0\'; // 确保字符串结束符 printf(\"欢迎：%s\\n\", buffer);}

怎么判断是不是污点变量？

1、用户输入

// 例：用户输入的字符串（污点变量）char user_input[100];scanf(\"%s\", user_input); // 通过 scanf 接收用户输入 → user_input 为污点变量

2、外部系统输入

// 例：从网络读取的数据（污点变量）char* network_data = recv_from_socket(sock); // 网络接收的数据 → network_data 为污点变量

3、且没经过净化

char user_input[100];scanf(\"%s\", user_input); // 污点源：用户输入char* data = user_input; // 直接赋值，未净化 → data 仍为污点变量

净化后——不是：（AI给的）

char user_input[100];scanf(\"%s\", user_input); // 污点源：用户输入// 净化处理：验证输入是否为纯数字（仅保留安全字符）if (is_all_digits(user_input)) { // 假设 is_all_digits 检查字符串是否仅含 0-9 int num = atoi(user_input); // 转换为整数（净化后）→ num 不再是污点变量}