关于格式字符串漏洞的视频和可视化教程

Question

任何人都知道好格式的字符串漏洞教程/视频演示如何在web应用程序上进行测试，比如修改URL。我已经看过Vivek的视频从安全管和另一个从CarolinaCon，但我正在寻找一个更详细的/可视化的演示如何将其应用于web应用程序笔试。此外，我还见过其他易受攻击的web应用程序，如Damn vulnerable App和Web山羊，以及其他一些应用程序，但是，除了修改易受攻击的链接和/或程序的代码之外，我似乎找不到攻击者如何通过Web浏览器攻击格式字符串漏洞，以及如何防范这种漏洞。

这一切都源于读取不同的外部扫描报告，这些报告似乎总是包含位于www.domainname.com/default.asp？(此处插入名称和代码，例如。)的格式字符串漏洞。News=%2508x。我到底应该寻找什么，以及应该如何调查/测试(工具、手册等)？

Answer 1

OWASP测试指南有一些指导，以及一些白皮书和对工具的引用。

WASC有这条目。

那里有扫描工具来寻找这种漏洞。w3af有一个formatString插件，可以根据应用程序的设置帮助您进行测试。

除此之外，我假设您从视频中学到了如何测试printf格式字符。如果将这些字符添加到字典中并对输入进行模糊攻击，则可以确定应用程序的漏洞(如果没有利用该漏洞)。

Answer 2

看看会议录像，我肯定有一些关于你想要什么的视频。