Videos y tutoriales visuales sobre las vulnerabilidades de las cadenas de formato

6

Alguien sabe de buenos tutoriales / videos de vulnerabilidad de cadenas de formato que demuestran cómo probar en una aplicación web, como modificar la URL. He visto los videos de Vivek de securitytube y otro de CarolinaCon, pero estoy buscando una demostración más detallada / visual de cómo aplicarla en la prueba de la pluma de la aplicación web. Además, he visto otras aplicaciones web vulnerables como Damn Vulnerable Web App y Webgoat, así como algunas otras, pero parece que no puedo descubrir cómo un atacante puede explotar una vulnerabilidad de cadena de formato a través de un navegador web y cómo protegerse. Contra ello, aparte de modificar el código del enlace y / o programa vulnerable.

Todo esto se debe a la lectura de diferentes informes de análisis externos que siempre parecen contener una vulnerabilidad de cadena de formato ubicada en www.domainname.com/default.asp?( inserte el nombre aquí y el código, ej.) Noticias =% 2508x. ¿Qué debo buscar exactamente y cómo se supone que alguien investigue / pruebe esto (herramientas, manual, etc.)?

    
pregunta user6255 20.12.2011 - 20:38
fuente

2 respuestas

2

La Guía de pruebas de OWASP tiene algunas orientaciones, así como algunos informes y referencias a herramientas.

WASC tiene esta entrada .

Existen herramientas de escaneo que buscan este tipo de vulnerabilidad. w3af tiene un complemento formatString que puede ayudarlo a probar, dependiendo de la configuración de su aplicación.

Aparte de estas cosas, asumo que aprendiste de los videos para probar los caracteres de formato de printf. Si agrega estos caracteres a un diccionario y fuzzing ataque en las entradas, puede determinar la vulnerabilidad de la aplicación, si no explotar la vulnerabilidad.

    
respondido por el schroeder 21.12.2011 - 19:25
fuente
-1

Consulte los Defcon Conference Videos , estoy seguro de que hay algunos videos sobre lo que desea.

    
respondido por el Mohamad Alhamoud 21.12.2011 - 13:53
fuente

Lea otras preguntas en las etiquetas