Estudo sobre vulnerabilidade de strings de formatação
Visualizar/abrir
Data
2009Autor
Resumo
Este trabalho apresenta um estudo sobre a vulnerabilidade de strings de formatação, demonstrando como ela ocorre e analisando os meios mais comuns de exploração e prevenção dessa vulnerabilidade, com enfoque sobre a linguagem C. A vulnerabilidade de strings de formatação ocorre quando o programador, ao utilizar uma função de formatação, permite que um agente externo tenha controle sobre a formatação utilizada em vez de apenas sobre os valores formatados. Em determinadas linguagens, esse pequeno
Este trabalho apresenta um estudo sobre a vulnerabilidade de strings de formatação, demonstrando como ela ocorre e analisando os meios mais comuns de exploração e prevenção dessa vulnerabilidade, com enfoque sobre a linguagem C. A vulnerabilidade de strings de formatação ocorre quando o programador, ao utilizar uma função de formatação, permite que um agente externo tenha controle sobre a formatação utilizada em vez de apenas sobre os valores formatados. Em determinadas linguagens, esse pequeno erro de programação pode permitir que um atacante sonde informações críticas de um sistema, cause comportamentos anormais como encerramento abrupto do programa ou negação de serviço e, no pior caso, obtenha controle de um sistema. No intuito de explicar o funcionamento da vulnerabilidade, inicialmente disserta-se sobre conceitos fundamentais para entendimento desta, como organização da memória de um processo e utilização de funções de formatação. Em seguida mostram-se as técnicas mais comuns utilizadas ao explorar a vulnerabilidade, finalizando com uma breve listagem das ferramentas disponíveis atualmente para proteger e prevenir um sistema contra ela.
Abstract
This paper presents a study on format string vulnerability, demonstrating how it occurs and analyzing the most common ways to exploit and prevent it, focusing on the C language. A format string vulnerability occurs when the programmer, using a format function, allows an external agent to have control over the format rather than the values being formatted. In some languages, this small programming error can allow an attacker probe critical data from a system, cause abnormal behavior such as abru
This paper presents a study on format string vulnerability, demonstrating how it occurs and analyzing the most common ways to exploit and prevent it, focusing on the C language. A format string vulnerability occurs when the programmer, using a format function, allows an external agent to have control over the format rather than the values being formatted. In some languages, this small programming error can allow an attacker probe critical data from a system, cause abnormal behavior such as abrupt termination of a program or denial of service, and, in the worst case, gain control of a system. Intending to explain how the vulnerability works, some fundamental concepts are presented first, such as process’ memory organization and usage of format functions. Next, the most common techniques used when exploiting the vulnerability are demonstrated, ending with a brief listing of the available tools to protect and prevent a system against the vulnerability.
Coleções
-
TCC Ciência da Computação (1024)
Este item está licenciado na Creative Commons License
