Typy formátovací reťazec chýb

Softvérové ​​zraniteľnosti neustále strašiť programátorov a vývojárov . Formátovací reťazec chyba je jedným z takých zraniteľnosti , a to môže spôsobiť pád programu alebo spustiť škodlivý kód . Problém s formátovacím reťazcom sa točí okolo nekontrolovanou vstup užívateľa . Príkaz pre tlač v jazyku C môže byť príkladom tejto chyby . " Printf ( ) " je zaškrtnutá vstup užívateľa , ktorý umožňuje tlač zo vzdialených miest . Používa sa samostatne , tento príkaz dáva hackeri príležitosti uniesť kód pre ich účely . Popis

Developeri použiť printf kód rodinu formátovacích reťazcoch alebo ovládací výstup dát . Printf Kód rodina zahŕňa príkazy , ako fprintf , vprintf a sprintf , z ktorých všetky formátu dát , ale napísať na rôznych miestach . Formát reťazca chyby sa vyskytujú , keď vývojári zanedbávajú umiestniť potrebné obmedzenia printf kódu rodiny . Hackeri potom môžete zadať svoj ​​vlastný kód pomocou týchto kódov obmedzení - free , alebo medzier , a únos kód . Výsledkom je , podľa autorov " The Shellcoders Handbook , " je , že únosca potom môže byť schopný zobraziť osobné údaje a spustiť ľubovoľný kód .
Formát Žetóny

Upevňovacie formátovací reťazec chýb môže byť bezbolestné , a vývojár softvéru stačí pridať iba vo formáte známku ako " % s " alebo " % x " . Napríklad autor môže vstúpiť " printf ( " % s " , vstup ) " na príkazovom riadku .

Formát tokenu obmedzuje záznamy vo formáte a zabraňuje hackerom v realizácii škodlivého kódu pomocou medzery prítomných v pôvode kódu. Formát reťazca chyby zvyčajne dochádza , keď programátori vyvíjať kód pre veľké programy . Počas vývoja kódu , programátori môžu sústrediť na obraz , a tak výhľad na formátovací reťazec . Nekontrolovaná formátovací reťazec sa potom chová ako okno príležitosti , ktoré môže útočník použiť na manipuláciu s kód .
Pretečenie bufferu

Formát reťazca môžu tiež vytvárať vyrovnávaciu pamäť problémy pretečeniu . Keď program prechádza hranicu vyrovnávacej pamäti pri zápise dát , dôjde k pretečeniu vyrovnávacej pamäti , a program môže prepísať susediace pamäť . Ide o významnú hrozbu z hľadiska bezpečnosti pamäte programu je . Problémy pretečeniu vyrovnávacej pamäte sú často spájané s C a C + + jazykov . Program vývojári by mali skontrolujte buffera hranice proti pretečeniu bufferu anomálie . Pokiaľ nie je formát špecifikovaný pre funkciu C behu času , ľubovoľná kód môže byť spustený pomocou zadaného medzeru . Vzhľadom k tomu , kód nemusí poznať hranice vyrovnávacej pamäti , môže dôjsť k pretečeniu vyrovnávacej pamäti , a prepísať pamäť .
Minimalizácia rizík

sa môžete vyhnúť formáte reťazca chyby tým , po niekoľko základných pravidiel programovania . Ak chcete minimalizovať výskyt Formant sláčikových chýb , nainštalujte iba tie nástroje , ktoré potrebujete , a to iba umožniť prístup k týmto nástrojov , ktoré sú vo vašej najdôveryhodnejší skupiny , podľa autorov " Hack kontroly pravopisu vo vašej sieti . " Nikdy nezabudnite uviesť formátovací reťazec na " printf " vyhlásenie . Ak existuje vlastný formát reťazca v kóde , venujte zvláštnu pozornosť pri písaní oprávnenia týchto samostatne definované formátovacích reťazcoch .

• Predchádzajúca strana: Ako ušetriť dáta na Xcode pre iPhone 
• Ďalšia strana: Ako vložiť resx v CSC kompilátora