Check for proper format string handling in back end c code
Was bedeutet Check for proper format string handling in back end c code?
Die Software verwendet eine Funktion, die eine Formatzeichenfolge als Argument akzeptiert. Die Formatzeichenfolge stammt jedoch aus einer externen Quelle.
Dieser Scanner sucht im erhobenen Code nach Indikatoren für Fehler in der Formatzeichenfolge. Dies erfolgt durch das Ausgeben von Eingabetext-basierten Zeichenfolgen, die von C-Code erhoben wurden und erwartet, dass eine formatierte Ausgabe erzeugt wird und nach Code-Absturz und unnatürlichen Sitzungsschließungen sucht.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Wählen Sie eine Sprache, die diesem Fehler nicht unterliegt.
Stellen Sie sicher, dass allen Formatzeichenfolgen-Funktionen eine statische Zeichenfolge übergeben wird, die vom Benutzer nicht gesteuert werden kann, und dass immer die richtige Anzahl von Argumenten an diese Funktion gesendet wird. Verwenden Sie möglichst Funktionen, die den %n-Operator in Formatzeichenfolgen nicht unterstützen.
Andere Informationen
Es ist zu beachten, dass unter bestimmten Umständen, z.B. bei der Internationalisierung, der Satz von Formatzeichenfolgen extern durch das Design gesteuert wird. Wenn die Quelle dieser Formatzeichenfolgen vertrauenswürdig ist (z.B. nur in Bibliotheksdateien enthalten ist, die nur vom Systemadministrator geändert werden können), kann die externe Steuerung selbst keine Sicherheitsanfälligkeit darstellen.
Allgemeiner Schwachstellen-Datenbanklink
https://cwe.mitre.org/data/definitions/134.html
Sie haben noch Fragen?