Check for proper format string handling in back end c code

Was bedeutet Check for proper format string handling in back end c code?

Die Software verwendet eine Funktion, die eine Formatzeichenfolge als Argument akzeptiert. Die Formatzeichenfolge stammt jedoch aus einer externen Quelle.

Wenn ein Angreifer eine extern gesteuerte Formatzeichenfolge ändern kann, kann dies zu Pufferüberläufen, Denial-of-Service- oder Datendarstellungsproblemen führen.

Dieser Scanner sucht im erhobenen Code nach Indikatoren für Fehler in der Formatzeichenfolge. Dies erfolgt durch das Ausgeben von Eingabetext-basierten Zeichenfolgen, die von C-Code erhoben wurden und erwartet, dass eine formatierte Ausgabe erzeugt wird und nach Code-Absturz und unnatürlichen Sitzungsschließungen sucht.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Wählen Sie eine Sprache, die diesem Fehler nicht unterliegt.
Stellen Sie sicher, dass allen Formatzeichenfolgen-Funktionen eine statische Zeichenfolge übergeben wird, die vom Benutzer nicht gesteuert werden kann, und dass immer die richtige Anzahl von Argumenten an diese Funktion gesendet wird. Verwenden Sie möglichst Funktionen, die den %n-Operator in Formatzeichenfolgen nicht unterstützen.

Beachten Sie die Warnungen der Compiler und Linker, da diese Sie auf unsachgemäße Verwendung aufmerksam machen können.

Andere Informationen

Es ist zu beachten, dass unter bestimmten Umständen, z.B. bei der Internationalisierung, der Satz von Formatzeichenfolgen extern durch das Design gesteuert wird. Wenn die Quelle dieser Formatzeichenfolgen vertrauenswürdig ist (z.B. nur in Bibliotheksdateien enthalten ist, die nur vom Systemadministrator geändert werden können), kann die externe Steuerung selbst keine Sicherheitsanfälligkeit darstellen.

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/134.html

Sie haben noch Fragen?

Kontaktieren Sie uns