Format Strings

• Categoría:

• BufferOverflow

• Referencia:

• OWASP-BO004

Descripcion:

Esta prueba asegura que las funciones que muestran texto usen exclusivamente datos seguros y revisados para evitar posibles robos de datos o daños en la aplicación.

Herramientas recomendadas:

• American Fuzzy Lop (AFL)

Recomendaciones para realizar la prueba:

Los atacantes explotan funciones de formateo al proporcionar entradas maliciosas que incluyen especificadores como %s o %x. Por ejemplo, al enviar %x%x%x en una entrada vulnerable, pueden leer datos sensibles de la memoria o manipular direcciones de retorno para comprometer el sistema. Se recomienda usar una herramienta como American Fuzzy Lop (AFL); Instrumenta tu aplicación para usar AFL: "afl-gcc -o mi_aplicacion mi_aplicacion.c". Prepara un directorio con ejemplos de entrada para el fuzzing. Ejecuta AFL para probar la aplicación: "afl-fuzz -i entradas/ -o salidas/ -- ./mi_aplicacion". Analiza los comportamientos anómalos y corrige los problemas identificados.

Hay que comprobar si la aplicación maneja correctamente las entradas de texto que los usuarios pueden proporcionar, especialmente en funciones que muestran datos en pantalla o los procesan. Es importante validar siempre estas entradas para evitar que incluyan formatos especiales que puedan dañar el sistema o exponer información.