自動変数としてスタック上に取られるデータ領域に、その大きさを越えたデータを入力して任意のコードを実行させる攻撃。
概要
これによってスタック上にあるリターンアドレスを上書きし、入力されたデータ中に含まれる任意のコードを実行させることができる。
ユーザ入力に対して、サイズをチェックしていないstrcat、strcpyなどがターゲットとなる。
図解
(メモリマップ) ← メモリ下位 メモリ上位 → ┌─────────┬───────┬───────┐ │ │ 自動変数 ... │<return addr.>│ └─────────┴───────┴───────┘ ← スタックの成長方向 (入力するデータ) ┌────────┬───────┬──┬─────┐ │NOP NOP ... NOP│<exploit code>│ ...│<address*>│ └────────┴───────┴──┴─────┘
<address*> が正規の <return address> を上書きし、関数が終了した後にexploit codeを実行するようになる。
ただし<address*>に与える正確な値を導き出すのは難しいので、<exploit code>に複数のNOPを前置して<exploit code>に当たる確率を増やす。