アカウント名:
パスワード:
stringsは使わない人は一生使わないコマンドなんで、その脆弱性を狙って悪用するのは難しいでしょうね。しかし他の似たようなプログラムは大丈夫なんでしょうかね?自分はxxdを多用してますが。
ふと思ったのだが、printfの処理に使われている内部のインタプリタに脆弱性があって悪用されるなんて可能性はないのだろうか?杞憂かもしれないが、何であれ動的な処理をしている部分は攻撃のターゲットになると思われるので.......
Format string exploits ですね.10年くらい前ですが,printfにもセキュリティーホールがある,ということで問題になりました
今ではGCC等のコンパイラレベルで対策がとられていてコンパイル時にコンパイラが printf の書式を解析し,問題があれば警告やエラーを出すようになっています
Wikipediaにエントリがあったので,リンクを貼っておきますhttp://en.wikipedia.org/wiki/Uncontrolled_format_string [wikipedia.org]
おお、参考になります(日本語の情報が少なくて俺が知らなかっただけなのか...)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
他のプログラム (スコア:0)
stringsは使わない人は一生使わないコマンドなんで、その脆弱性を狙って悪用するのは難しいでしょうね。
しかし他の似たようなプログラムは大丈夫なんでしょうかね?自分はxxdを多用してますが。
printf (スコア:0)
ふと思ったのだが、printfの処理に使われている内部のインタプリタに脆弱性があって悪用されるなんて可能性はないのだろうか?
杞憂かもしれないが、何であれ動的な処理をしている部分は攻撃のターゲットになると思われるので.......
Re: (スコア:5, 参考になる)
Format string exploits ですね.
10年くらい前ですが,printfにもセキュリティーホールがある,ということで問題になりました
今ではGCC等のコンパイラレベルで対策がとられていて
コンパイル時にコンパイラが printf の書式を解析し,問題があれば警告やエラーを出すようになっています
Wikipediaにエントリがあったので,リンクを貼っておきます
http://en.wikipedia.org/wiki/Uncontrolled_format_string [wikipedia.org]
Re:printf (スコア:0)
おお、参考になります(日本語の情報が少なくて俺が知らなかっただけなのか...)