He estado trabajando en vulnerabilidades de validación de entrada y muy nuevas en Vulnerabilidades de cadenas de formato no controladas, como aprendí hasta ahora que generalmente se explota mediante las funciones printf con " % ".
También vi que JavaScript (Node.JS) admite cadenas de formato usando las funciones sprintf .
¿Es posible realizar ataques de cadena de formato en JavaScript, porque en CWE solo se menciona que rara vez se ve en Perl, a menudo en C y C ++. Si es posible, ¿hay algún ejemplo o alguna fuente que pueda encontrar?
Lo intenté con un ejemplo simple pero terminó con un error expecting number but found string "Bob"
var val = "Bob"
console.log(sprintf('The %x ran around the tree', val));
No estoy seguro de si lo estoy haciendo bien, cualquier ayuda sería genial.
Gracias de antemano