Video e tutorial visivi sulle vulnerabilità delle stringhe di formato

6

Qualcuno sa di esercitazioni / video sulla vulnerabilità delle stringhe in formato buono che dimostrano come eseguire il test su un'app Web, ad esempio la modifica dell'URL. Ho visto i video di Vivek da securitytube e un altro da CarolinaCon, ma sto cercando una dimostrazione più dettagliata / visiva di come applicarla nei test delle penne delle app web. Inoltre, ho visto altre app Web vulnerabili come Damn Vulnerable Web App e Webgoat, così come alcune altre, ma non riesco a trovare il modo in cui un utente malintenzionato può sfruttare una vulnerabilità di stringa di formato tramite un browser Web e come proteggere contro di essa, oltre a modificare il codice del collegamento vulnerabile e / o del programma.

Tutto questo deriva dalla lettura di diversi rapporti di scansione esterni che sembrano sempre contenere la vulnerabilità legata alle stringhe di formato che si trova in www.domainname.com/default.asp?(segnalando il nome qui e il codice, es.) News =% 2508x. Che cosa dovrei cercare esattamente e in che modo qualcuno dovrebbe indagare / testare questo (strumenti, manuale, ecc.)?

    
posta user6255 20.12.2011 - 20:38
fonte

2 risposte

2

La Guida al test OWASP ha alcune indicazioni, oltre ad alcuni white paper e riferimenti agli strumenti.

WASC ha questa voce.

Esistono strumenti di scansione che cercano questo tipo di vulnerabilità. w3af ha un plug-in formatString che potrebbe aiutarti a testare, a seconda della configurazione dell'applicazione.

Oltre a queste cose, presumo che tu abbia imparato dai video per testare i caratteri di formattazione di printf. Se si aggiungono questi caratteri a un dizionario e si configura un attacco sugli input, è possibile determinare la vulnerabilità dell'applicazione, se non sfruttare la vulnerabilità.

    
risposta data 21.12.2011 - 19:25
fonte
-1

Controlla i video di Defcon Conference , sono sicuro che ci sono alcuni video su ciò che vuoi.

    
risposta data 21.12.2011 - 13:53
fonte

Leggi altre domande sui tag