https://blog.qife122.com/tags/%E7%BC%96%E7%A8%8B%E5%AE%89%E5%85%A8/ Recent content in 编程安全 on 办公AI智能小助手 Hugo zh-cn qife Thu, 04 Dec 2025 11:22:11 +0800 https://blog.qife122.com/p/%E5%9C%A8c%E8%AF%AD%E8%A8%80%E4%B8%AD%E8%A7%A3%E6%9E%90%E6%95%B4%E6%95%B0%E7%9A%84%E8%89%BA%E6%9C%AF%E5%91%8A%E5%88%ABatoi%E6%8B%A5%E6%8A%B1%E4%B8%A5%E6%A0%BC%E4%B8%8E%E5%AE%89%E5%85%A8/ Thu, 04 Dec 2025 11:22:11 +0800 https://blog.qife122.com/p/%E5%9C%A8c%E8%AF%AD%E8%A8%80%E4%B8%AD%E8%A7%A3%E6%9E%90%E6%95%B4%E6%95%B0%E7%9A%84%E8%89%BA%E6%9C%AF%E5%91%8A%E5%88%ABatoi%E6%8B%A5%E6%8A%B1%E4%B8%A5%E6%A0%BC%E4%B8%8E%E5%AE%89%E5%85%A8/ <h2 id="解析c语言中的整数">解析C语言中的整数</h2> <p>在标准libc API集中，提供了多个将ASCII数字转换为整数的函数。它们使用方便，但也容易出错，并且对输入内容相当宽容，会默默“吞下”很多不符合预期的数据。</p> https://blog.qife122.com/p/dio-http%E5%AE%A2%E6%88%B7%E7%AB%AFcrlf%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Thu, 04 Dec 2025 01:11:59 +0800 https://blog.qife122.com/p/dio-http%E5%AE%A2%E6%88%B7%E7%AB%AFcrlf%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h3 id="漏洞信息">漏洞信息</h3> <p><strong>CVE编号：</strong> CVE-2021-31402 <strong>漏洞级别：</strong> 高危 (CVSS评分 7.5) <strong>影响范围：</strong> Dio包 &lt; 5.0.0 版本 <strong>修复版本：</strong> 5.0.0 <strong>漏洞类型：</strong> CRLF注入</p> <h3 id="漏洞详情">漏洞详情</h3> <p>Dio是Dart语言的一个流行的HTTP客户端库。在4.0.0版本中，存在CRLF注入漏洞，当攻击者能够控制HTTP方法字符串时，可以注入恶意内容。该漏洞与CVE-2020-35669属于不同的安全缺陷。</p> https://blog.qife122.com/p/curl%E6%BC%8F%E6%B4%9E%E6%8A%A5%E5%91%8A%E5%88%86%E6%9E%90%E6%95%B0%E7%BB%84%E7%B4%A2%E5%BC%95%E4%B8%8B%E6%BA%A2%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ Fri, 07 Nov 2025 20:00:01 +0800 https://blog.qife122.com/p/curl%E6%BC%8F%E6%B4%9E%E6%8A%A5%E5%91%8A%E5%88%86%E6%9E%90%E6%95%B0%E7%BB%84%E7%B4%A2%E5%BC%95%E4%B8%8B%E6%BA%A2%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ <h1 id="curl漏洞报告分析数组索引下溢安全风险">curl漏洞报告分析：数组索引下溢安全风险</h1> <h2 id="报告信息">报告信息</h2> <ul> <li><strong>报告ID</strong>: #3409193</li> <li><strong>报告时间</strong>: 2025年11月3日 5:46 UTC</li> <li><strong>报告者</strong>: hackerpllim</li> <li><strong>报告对象</strong>: curl项目</li> <li><strong>披露时间</strong>: 2025年11月3日 7:13 UTC</li> </ul> <h2 id="漏洞详情">漏洞详情</h2> <ul> <li><strong>严重程度</strong>: 无 (0.0分)</li> <li><strong>弱点类型</strong>: 数组索引下溢 (Array Index Underflow)</li> <li><strong>CVE ID</strong>: 无</li> <li><strong>赏金</strong>: 无</li> </ul> <h2 id="处理时间线">处理时间线</h2> <h3 id="2025年11月3日">2025年11月3日</h3> <ul> <li><strong>hackerpllim</strong> 向curl项目提交报告</li> <li><strong>bagder</strong> (curl工作人员) 将报告状态更改为&quot;不适用&quot;并关闭报告</li> <li><strong>bagder</strong> 请求披露此报告</li> <li><strong>bagder</strong> 根据项目透明度政策披露了此报告</li> </ul> <h2 id="技术说明">技术说明</h2> <p>该报告涉及数组索引下溢安全漏洞，这是一种常见的编程错误，可能导致内存访问越界和安全风险。虽然该漏洞被评估为无严重程度，但curl团队仍按照透明度政策进行了完整披露。</p>