アカウント名:
パスワード:
stringsは使わない人は一生使わないコマンドなんで、その脆弱性を狙って悪用するのは難しいでしょうね。しかし他の似たようなプログラムは大丈夫なんでしょうかね?自分はxxdを多用してますが。
ふと思ったのだが、printfの処理に使われている内部のインタプリタに脆弱性があって悪用されるなんて可能性はないのだろうか?杞憂かもしれないが、何であれ動的な処理をしている部分は攻撃のターゲットになると思われるので.......
Format string exploits ですね.10年くらい前ですが,printfにもセキュリティーホールがある,ということで問題になりました
今ではGCC等のコンパイラレベルで対策がとられていてコンパイル時にコンパイラが printf の書式を解析し,問題があれば警告やエラーを出すようになっています
Wikipediaにエントリがあったので,リンクを貼っておきますhttp://en.wikipedia.org/wiki/Uncontrolled_format_string [wikipedia.org]
If the format string may come from the user or from a source external to the application, the application must validate the format string before using it.
動的にどーやってチェックするだろうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
他のプログラム (スコア:0)
stringsは使わない人は一生使わないコマンドなんで、その脆弱性を狙って悪用するのは難しいでしょうね。
しかし他の似たようなプログラムは大丈夫なんでしょうかね?自分はxxdを多用してますが。
printf (スコア:0)
ふと思ったのだが、printfの処理に使われている内部のインタプリタに脆弱性があって悪用されるなんて可能性はないのだろうか?
杞憂かもしれないが、何であれ動的な処理をしている部分は攻撃のターゲットになると思われるので.......
Re: (スコア:5, 参考になる)
Format string exploits ですね.
10年くらい前ですが,printfにもセキュリティーホールがある,ということで問題になりました
今ではGCC等のコンパイラレベルで対策がとられていて
コンパイル時にコンパイラが printf の書式を解析し,問題があれば警告やエラーを出すようになっています
Wikipediaにエントリがあったので,リンクを貼っておきます
http://en.wikipedia.org/wiki/Uncontrolled_format_string [wikipedia.org]
Re:printf (スコア:0)
動的にどーやってチェックするだろうね。