有关格式化字符串漏洞的视频和可视化教程

信息安全 开发 已知漏洞
2021-09-05 08:14:31

任何人都知道很好的格式字符串漏洞教程/视频,这些教程/视频演示了如何在 Web 应用程序上进行测试,例如修改 URL。我从 securitytube 和 CarolinaCon 观看了 Vivek 的视频,但我正在寻找一个更详细/可视化的演示,说明如何将它应用到网络应用程序笔测试中。此外,我还看到了其他易受攻击的 Web 应用程序,例如 Damn Vulnerable Web App 和 Webgoat,以及其他一些,但似乎无法找到攻击者如何通过 Web 浏览器利用格式字符串漏洞以及如何保护除了修改易受攻击的链接和/或程序的代码之外。

这一切都源于阅读不同的外部扫描报告,这些报告似乎总是包含位于 www.domainname.com/default.asp?(在此处插入名称和代码,例如)News=%2508x 的格式字符串漏洞。我到底应该寻找什么以及应该如何调查/测试这个(工具、手册等)?

2个回答

OWASP 测试指南有一些指导,以及一些白皮书和工具参考。

WASC 有这个条目。

有寻找这种漏洞的扫描工具。w3af 有一个formatString插件,可以帮助您进行测试,具体取决于您的应用程序的设置。

除了这些东西,我假设您从视频中学到了测试 printf 格式字符。如果将这些字符添加到字典中并对输入进行模糊攻击,则可以确定应用程序的漏洞,如果没有利用该漏洞。

检查Defcon 会议视频,我确信有一些关于你想要的视频。

其它你可能感兴趣的问题
上一篇我是否应该确保我的所有 OpenPGP uid 都已签名? 下一篇如何保护我的广告空间免受广告覆盖浏览器附件的影响?